지난 목요일(2011년 6월 16일) 방이동에서 스마트폰 kernel과 관련된 해킹 발표를 듣고 왔습니다. 검&경찰, 보안 업체, 대기업 관련 분들이 모였었습니다. 예상했던 대로 아주 제대로 된, 확실한 공격을 구경을 하고 왔습니다.
쉽게 얘기를 하자면, 지금까지의 스마트폰과 관련된 취약점이 언론에 나는 경우는 대부분 App 레벨이지만, 이번 발표에서는 App 레벨이 아닌 kernel 레벨의 공격을 구현했다는 겁니다(sandbox를 벗어 난 공격을 했다는 점에서 큰 의미가 있음). 시나리오를 얘기하자면
1. QR-Code들을 이용해서 특정사이트의 악성 코드를 victim에서 실행하게 한다.
2. reverse connection을 이용해서 attacker가 해당 스마트폰에 접속이 되도록 한다.
3. kernel 취약점(엄밀히 말하면 스마트폰 specific한 취약점이 아닌 OS 기반 취약점)을 이용하여 root를 따고 attacker가 원하는 행동을 한다.
4. system call hooking을 걸어서(방식도 여러가지) linked list 기반의 file retrieving이나 process checking retrieving 방식을 교묘히 바꿔 버리는 행위들이 가능해 진다(예를 들어서, ls를 쳐도 attacker가 심어 놓은 악성 코드가 발견이 안되고, ps를 쳐도 attacker가 실행시켜 놓은 process가 안보이게 할 수 있음. file 검색 자체를 system 레벨에서 감춰 놓았기 때문에 백신이 제대로 탐지못하는 것은 당연. 이는 백신의 문제가 아니라 kernel이 공격을 당한 문제임. 결국 OS 문제라는 것).
원래 이분이 80x86 assembly 전문가셨는데 이번에는 ARM assembly도 통달하셨더군요(젊으니 부럽). ^^ 발표하신 분이 인천 분이었기 때문에, 발표를 마치고 난 이후 같이 택시를 타고 오면서 이런 저런 얘기를 했었는데, Android OS 기반뿐 아니라 iOS(BSD 기반)에서도 동일한 공격이 가능하다고 하더군요. 다만, Apple사와의 contact이 어려운 관계로 iPhone 공격을 얘기하는 것은 직접 시연을 하지는 않았다고 하구요.
다음주 월요일(2011년 6월 20일) YTN을 통해서 방송이 나갈 예정입니다. 아무쪼록 제대로 된 언론 보도가 나갔으면 합니다. 근본 문제(app 레벨이 아닌 kernel 레벨의 취약점 존재)의 언급 없이, 그냥 사진을 빼 내가고, 통화 기록을 빼내 가고, 백신으로도 못 잡고... 이렇게만 기사화될 것 같은 걱정이 드는군요.
아무쪼록 좋은 결과 있기를 바랍니다. 유XX님 화이팅!!! ^^
관련 보도가 다시 나왔네요.
YTN : [단독] 스마트폰 해킹, 백신도 못 막는다!
본 취약점은 비단 백신의 문제가 아닙니다. OS 레벨을 건드려 놓았기 때문이죠. 쉽게 말해서, "ls" 명령을 통해서 보이지 않는 파일은 백신에서도 보이지 않는 것은 당연(둘다 sandbox 안에서 돌아 가는 것이기 때문에). 이것을 가지고 백신의 잘못이라고 얘기하면 안된다는 얘기. 보도의 내용 자체는 사실 전달에 충실한데, 제목은 좀 처음 우려스럽게 걱정하던 대로 나갔네요.
데일리시큐 : [단독] 스마트폰 해킹, 백신도 못 막는다!
발표의 내용을 가장 정확하게 전달하고 있는 기사입니다. 다만, 이것도 제목 자체는 선정적. ^^
보안뉴스 : 백신도 못 잡는 ‘스마트폰 슈퍼 악성코드’ 가능성 증명됐다
기술적으로 자세한 설명이 나와 있습니다.
ps: 이런 발표가 나갈 때마다, 애플빠, 삼성빠 얘기가 나오는 그런 댓글은 좀 나아니라는 생각이 드네요. 본 발표는 Linux or BSD 자체로, 보안 그 자체로만 얘기를 했으면 합니다.
YTN 보도를 보니, 제가 발표장에서 느꼇던 것들과는 조금 상이하게 나오네요. "언론을 통해서 일반인들에게 kernel이라는 용어라는 설명이 될 수 있을까?" 라는 의구심이 들었었는데, 역시나 "kernel"이라는 얘기는 완전 빠져 있군요. -_-;
1. 본 취약점의 가장 핵심은 Application(앱)을 이용한 취약점이 아닌 kernel 취약점이라는 겁니다. Android(linux 기반) 및 iOS(BSD 기반) 모두에 해당하는 취약점입니다. 다만 iOS를 가지고 시연하지 않은 것은, iOS에 대한 취약점을 얘기해 봤자 Apple 관련 담당자가 발표장에 없었고 해당 취약점에 대한 feedback이 불가능했기 때문에 iOS에 대해서는 언급을 하지 않았다고 발표자분께서 얘기를 하셨습니다. 기자는 Apple 제품을 들고 있고, 발표에서는 Android로 나온 것에 대해서는 네티즌들에게 오해의 소지가 있을 듯 하군요.
2. 중점적으로 보도된 내용이 "웹사이트를 들어 가기만 해도..." 라고 되어 있는데, 발표장에서 이런 내용 언급이 있었는지는 기억이 잘 나지 않네요.
2. 본 뉴스의 중심은 유XX님이어야 함에도 불구하고, 비중이 너무 작게 나왔네요(인터뷰도 안 나왔어요 ㅠㅠ). 어두운 화면에서 찍었다고 해서 처음에는 화들짝 놀랐는데, 나쁜 이미지(둥둥둥둥.... 긴장감을 조성하는 배경 음악 깔아 주시고, 영화에서 나올 법한 악당의 모습을 가진, 어두운 방에서 음친한 눈으로 모니터를 바라 보면서 나쁜 짓을 하는 음흉한 해커)로 반영되지 않은 것은 그나마 다행입니다. ^^