2019.09.09

SMS 기반 프로비저닝 메시지, 안드로이드 폰에서 지능형 피싱 유발

Lucian Constantin | CSO
모바일 사업자가 사용하는 특수한 형태의 SMS 메시지를 공격자가 악용, 안드로이드 폰에 인터넷 설정을 전달해 사용자의 인터넷 트래픽을 하이재킹하는 피싱 공격을 실행할 수 있다. 
 
ⓒ Getty Images Bank 

체크포인트 소프트웨어 테크놀로지(Check Point Software Technologies) 연구진에 따르면, 일부 폰 제조업체의 오픈 모바일 얼라이언스 클라이언트 프로비저닝(Open Mobile Alliance Client Provisioning, OMA CP) 표준 구현에서는 누구나 10달러짜리 GSM 모뎀과 일반적인 소프트웨어를 사용해 다른 모바일 사용자에게 특수한 프로비저닝 메시지를 전송할 수 있다.

OMA CP 메시지는 모바일 사업자가 네트워크에 가입하는 신규 기기를 대상으로 MMS 메시지 서버, 메일 서버, 브라우저 홈페이지, 인터넷 프록시 주소와 같은 네트워크 설정을 적용하는 데 사용하는 메시지다. OMA CP 메시지가 수신되면 사용자에게 설정 수락할 것인지 묻는 메시지가 표시되는데, 연구진은 삼성, LG, 화웨이, 소니 기기에서는 메시지를 보낸 사람이 누구인지 알 수 없음을 발견했다.

대부분의 사용자는 이 메시지를 사업자가 보낸 것으로 생각하고 설치에 동의하기 때문에 교묘한 피싱 공격이 가능해진다. 공격자는 설치되는 구성에 자신이 제어하는 인터넷 프록시를 포함해 사용자의 인터넷 트래픽이 이 프록시를 거치도록 할 수 있다. 트래픽 스누핑을 비롯한 중간자(man-in-the-middle) 공격이 가능해지는 것이다.

안드로이드 코드베이스에는 OMA CP 메시지를 처리하는 기능이 없으므로 폰 제조업체에서 각 기기 용 안드로이드 펌웨어에 직접 이 기능을 구현해야 한다. 따라서 각 제조업체의 기기마다 사용자 인터페이스를 비롯해 OMA CP 메시지를 처리하는 방식이 다를 수 있다.

OMA CP는 IMSI(International Mobile Subscriber Identity) 번호 또는 PIN을 통한 선택적인 인증을 지원하지만 체크포인트 연구진은 삼성의 OMA CP 구현은 전혀 인증되지 않은 메시지도 수락한다는 사실을 발견했다. 즉, 누구나 다른 가입자에게 메시지를 보내 새 네트워크 설정을 설치하도록 유도할 수 있다.

테스트한 화웨이, LG, 소니 기기의 경우 OMA CP 메시지에 인증이 필요했지만 어렵지 않게 우회가 가능했다. 모바일 네트워크 내에서 가입자를 식별하는 데 사용되는 IMSI 번호는 이론적으로는 비공개여야 하지만 실제로는 그렇지 않기 때문이다.

이 연구진은 인터넷에는 사용자의 모바일 전화번호를 기반으로 IMSI를 알아내는 역방향 IMSI 조회를 제공하는 서비스가 있다고 전했다. 많은 합법적인 안드로이드 앱은 기기의 IMSI를 읽을 권한이 있으므로 이런 용도로 앱을 만들면 의심을 받지 않으면서 IMSI 번호를 수집할 수 있다.

공격자가 공격 대상의 IMSI를 알아내지 못한다 해도 PIN 인증 옵션을 사용해 OMA CP 공격을 실행할 수 있다. 그러나 이 경우 메시지 하나가 아닌 두 개가 필요하다. 첫 번째 메시지는 사업자를 가장해서 사용자에게 공격자가 선택한 PIN으로 보호되는 네트워크 설정이 곧 수신될 것임을 알리는 일반 SMS이며, 두 번째 메시지는 이전에 사용자에게 전달된 PIN으로 보호되는 OMA CP 메시지다. 사용자가 설정을 설치하려면 해당 PIN을 입력해야 한다.


대부분의 스마트폰 업체, 문제 수정 완료

삼성은 5월 보안 패치를 통해 SVE-2019-14073으로 분류된 이 취약점을 수정했다. 이 안내문에는 모든 운영체제 버전의 모든 기기가 영향을 받는다고 나와 있다.

LG는 7월에 수정을 배포했다(LVE-SMP-190006). 화웨이는 다음 세대의 메이트와 P 시리즈 스마트폰에 OMA CP를 위한 UI 수정을 포함할 계획이다. 소니는 자사 기기가 OMA CP 사양을 준수한다는 점을 들어 취약점을 인정하지 않았다.

체크포인트에 따르면, OMA CP를 만든 표준 단체인 OMA스펙웍스(OMASpecWorks) 역시 이 문제를 살펴보고 있지만 논평은 하지 않았다. 

체크포인트 연구진은 이 보고서에서 “값싼 USB 모뎀만 있으면 누구나 다른 사용자를 속여 전화기에 악성 설정을 설치하도록 유도할 수 있다. 화웨이 P10, LG G6, 소니 엑스페리아 XZ 프리미엄, 그리고 S9을 포함한 다양한 삼성 갤럭시 폰에서 개념 증명을 확인했다”고 전했다.


SMS 취약점 보완책

일부 삼성 및 LG 기기에는 펌웨어 패치가 제공되지만 지원이 종료된 많은 기기는 업데이트를 받지 못해 취약한 상태로 남을 가능성이 높다. 이 연구진은 안드로이드 시장의 선두 업체들이 제조한 기기만 테스트한 만큼 테스트하지 않은 다른 제조업체의 기기에도 이 문제가 영향을 미칠 가능성이 있다고 말했다.

클라이언트 측에서 사용자는 메시지를 보낸 주체가 통신 사업자인지 여부를 확인할 수 없으므로 인터넷 설정을 수락하지도, 설치하지도 말아야 한다. 이런 설정은 안드로이드에서 수동으로 할 수 있고 사업자를 통해 올바른 설정을 받을 수 있다. 모바일 네트워크 측에서는 자체 장비에서 보내지 않은 OMA CP 메시지의 전달을 차단하는 방법을 사용할 수 있다.


다른 공격과의 유사성

이 공격은 소비자 기기를 대상으로 한 다른 프로비저닝 프로토콜을 사용하는 공격과 여러 면에서 비슷하다. 예를 들어 ISP가 고객에게 제공하는 라우터와 모뎀의 상당수는 TR-069 또는 CPE WAN 관리 프로토콜(CWMP)을 지원한다.

일반적으로 이 기능은 최종 사용자에게 표시되지 않고 ISP에서 가입자 기기에 새로운 구성을 푸시하거나 펌웨어를 업데이트하기 위한 용도로 사용된다. 지난 몇 년 사이 TR-069 구현에서는 공격자가 라우터를 점유할 수 있는 다양한 결함이 발견됐다.

공격의 영향력 측면에서는 웹 프록시 자동 검색(WPAD) 스푸핑 공격과 유사하다. WPAD는 마이크로소프트가 1990년대 후반에 개발한 프로토콜로, 컴퓨터가 웹에 액세스하기 위해 사용할 프록시 서버를 자동으로 검색할 수 있게 해준다.

로컬 네트워크의 컴퓨터는 동적 호스트 구성 프로토콜(DHCP), 로컬 도메인 네임 시스템(DNS) 조회, 링크-로컬 멀티캐스트 이름 확인(LLMNR)을 포함한 여러 가지 방법을 사용해 자동으로 프록시 자동 구성(PAC) 파일의 위치를 찾는다. 중간자 공격을 감행하는 공격자는 이러한 쿼리에 대해 무단으로 응답을 제공해서 컴퓨터가 공격자의 통제 하에 놓인 프록시 서버를 정의하는 PAC 파일을 로드하도록 강제할 수 있다. 이렇게 되면 다양한 공격이 가능해진다. editor@itworld.co.kr 


2019.09.09

SMS 기반 프로비저닝 메시지, 안드로이드 폰에서 지능형 피싱 유발

Lucian Constantin | CSO
모바일 사업자가 사용하는 특수한 형태의 SMS 메시지를 공격자가 악용, 안드로이드 폰에 인터넷 설정을 전달해 사용자의 인터넷 트래픽을 하이재킹하는 피싱 공격을 실행할 수 있다. 
 
ⓒ Getty Images Bank 

체크포인트 소프트웨어 테크놀로지(Check Point Software Technologies) 연구진에 따르면, 일부 폰 제조업체의 오픈 모바일 얼라이언스 클라이언트 프로비저닝(Open Mobile Alliance Client Provisioning, OMA CP) 표준 구현에서는 누구나 10달러짜리 GSM 모뎀과 일반적인 소프트웨어를 사용해 다른 모바일 사용자에게 특수한 프로비저닝 메시지를 전송할 수 있다.

OMA CP 메시지는 모바일 사업자가 네트워크에 가입하는 신규 기기를 대상으로 MMS 메시지 서버, 메일 서버, 브라우저 홈페이지, 인터넷 프록시 주소와 같은 네트워크 설정을 적용하는 데 사용하는 메시지다. OMA CP 메시지가 수신되면 사용자에게 설정 수락할 것인지 묻는 메시지가 표시되는데, 연구진은 삼성, LG, 화웨이, 소니 기기에서는 메시지를 보낸 사람이 누구인지 알 수 없음을 발견했다.

대부분의 사용자는 이 메시지를 사업자가 보낸 것으로 생각하고 설치에 동의하기 때문에 교묘한 피싱 공격이 가능해진다. 공격자는 설치되는 구성에 자신이 제어하는 인터넷 프록시를 포함해 사용자의 인터넷 트래픽이 이 프록시를 거치도록 할 수 있다. 트래픽 스누핑을 비롯한 중간자(man-in-the-middle) 공격이 가능해지는 것이다.

안드로이드 코드베이스에는 OMA CP 메시지를 처리하는 기능이 없으므로 폰 제조업체에서 각 기기 용 안드로이드 펌웨어에 직접 이 기능을 구현해야 한다. 따라서 각 제조업체의 기기마다 사용자 인터페이스를 비롯해 OMA CP 메시지를 처리하는 방식이 다를 수 있다.

OMA CP는 IMSI(International Mobile Subscriber Identity) 번호 또는 PIN을 통한 선택적인 인증을 지원하지만 체크포인트 연구진은 삼성의 OMA CP 구현은 전혀 인증되지 않은 메시지도 수락한다는 사실을 발견했다. 즉, 누구나 다른 가입자에게 메시지를 보내 새 네트워크 설정을 설치하도록 유도할 수 있다.

테스트한 화웨이, LG, 소니 기기의 경우 OMA CP 메시지에 인증이 필요했지만 어렵지 않게 우회가 가능했다. 모바일 네트워크 내에서 가입자를 식별하는 데 사용되는 IMSI 번호는 이론적으로는 비공개여야 하지만 실제로는 그렇지 않기 때문이다.

이 연구진은 인터넷에는 사용자의 모바일 전화번호를 기반으로 IMSI를 알아내는 역방향 IMSI 조회를 제공하는 서비스가 있다고 전했다. 많은 합법적인 안드로이드 앱은 기기의 IMSI를 읽을 권한이 있으므로 이런 용도로 앱을 만들면 의심을 받지 않으면서 IMSI 번호를 수집할 수 있다.

공격자가 공격 대상의 IMSI를 알아내지 못한다 해도 PIN 인증 옵션을 사용해 OMA CP 공격을 실행할 수 있다. 그러나 이 경우 메시지 하나가 아닌 두 개가 필요하다. 첫 번째 메시지는 사업자를 가장해서 사용자에게 공격자가 선택한 PIN으로 보호되는 네트워크 설정이 곧 수신될 것임을 알리는 일반 SMS이며, 두 번째 메시지는 이전에 사용자에게 전달된 PIN으로 보호되는 OMA CP 메시지다. 사용자가 설정을 설치하려면 해당 PIN을 입력해야 한다.


대부분의 스마트폰 업체, 문제 수정 완료

삼성은 5월 보안 패치를 통해 SVE-2019-14073으로 분류된 이 취약점을 수정했다. 이 안내문에는 모든 운영체제 버전의 모든 기기가 영향을 받는다고 나와 있다.

LG는 7월에 수정을 배포했다(LVE-SMP-190006). 화웨이는 다음 세대의 메이트와 P 시리즈 스마트폰에 OMA CP를 위한 UI 수정을 포함할 계획이다. 소니는 자사 기기가 OMA CP 사양을 준수한다는 점을 들어 취약점을 인정하지 않았다.

체크포인트에 따르면, OMA CP를 만든 표준 단체인 OMA스펙웍스(OMASpecWorks) 역시 이 문제를 살펴보고 있지만 논평은 하지 않았다. 

체크포인트 연구진은 이 보고서에서 “값싼 USB 모뎀만 있으면 누구나 다른 사용자를 속여 전화기에 악성 설정을 설치하도록 유도할 수 있다. 화웨이 P10, LG G6, 소니 엑스페리아 XZ 프리미엄, 그리고 S9을 포함한 다양한 삼성 갤럭시 폰에서 개념 증명을 확인했다”고 전했다.


SMS 취약점 보완책

일부 삼성 및 LG 기기에는 펌웨어 패치가 제공되지만 지원이 종료된 많은 기기는 업데이트를 받지 못해 취약한 상태로 남을 가능성이 높다. 이 연구진은 안드로이드 시장의 선두 업체들이 제조한 기기만 테스트한 만큼 테스트하지 않은 다른 제조업체의 기기에도 이 문제가 영향을 미칠 가능성이 있다고 말했다.

클라이언트 측에서 사용자는 메시지를 보낸 주체가 통신 사업자인지 여부를 확인할 수 없으므로 인터넷 설정을 수락하지도, 설치하지도 말아야 한다. 이런 설정은 안드로이드에서 수동으로 할 수 있고 사업자를 통해 올바른 설정을 받을 수 있다. 모바일 네트워크 측에서는 자체 장비에서 보내지 않은 OMA CP 메시지의 전달을 차단하는 방법을 사용할 수 있다.


다른 공격과의 유사성

이 공격은 소비자 기기를 대상으로 한 다른 프로비저닝 프로토콜을 사용하는 공격과 여러 면에서 비슷하다. 예를 들어 ISP가 고객에게 제공하는 라우터와 모뎀의 상당수는 TR-069 또는 CPE WAN 관리 프로토콜(CWMP)을 지원한다.

일반적으로 이 기능은 최종 사용자에게 표시되지 않고 ISP에서 가입자 기기에 새로운 구성을 푸시하거나 펌웨어를 업데이트하기 위한 용도로 사용된다. 지난 몇 년 사이 TR-069 구현에서는 공격자가 라우터를 점유할 수 있는 다양한 결함이 발견됐다.

공격의 영향력 측면에서는 웹 프록시 자동 검색(WPAD) 스푸핑 공격과 유사하다. WPAD는 마이크로소프트가 1990년대 후반에 개발한 프로토콜로, 컴퓨터가 웹에 액세스하기 위해 사용할 프록시 서버를 자동으로 검색할 수 있게 해준다.

로컬 네트워크의 컴퓨터는 동적 호스트 구성 프로토콜(DHCP), 로컬 도메인 네임 시스템(DNS) 조회, 링크-로컬 멀티캐스트 이름 확인(LLMNR)을 포함한 여러 가지 방법을 사용해 자동으로 프록시 자동 구성(PAC) 파일의 위치를 찾는다. 중간자 공격을 감행하는 공격자는 이러한 쿼리에 대해 무단으로 응답을 제공해서 컴퓨터가 공격자의 통제 하에 놓인 프록시 서버를 정의하는 PAC 파일을 로드하도록 강제할 수 있다. 이렇게 되면 다양한 공격이 가능해진다. editor@itworld.co.kr 


X