2017.09.14

블루본 위협, 53억 대 블루투스 탑재 기기 위험…삼성 갤럭시와 기어도 포함

Ms. Smith | CSO
사용자의 눈에 보이지 않게 공기 중으로 확산되고 사용자가 클릭이나 페어링, 다운로드 등의 행동을 전혀 하지 않고 심지어 검색 가능 모드를 설정하지 않아도 수십 억 대의 기기에 피해를 입힐 수 있는 공격이 등장했다.

바로 블루본(Blueborne)이라 명명된 공격 방법이다. 안드로이드(Android), 윈도우(Windows), 리눅스(Linux), iOS 등의 운영체제를 실행하는 53억 대 이상 기기의 블루투스(Bluetooth)에 영향을 주는 8종의 버그가 밝혀졌다.

IoT 보안업체 아미스(Armis)는 단지 기기의 블루투스를 켜는 것만으로도 10초 이내에 32피트(약 10미터) 거리에서 감염될 수 있다고 경고했다. 일반 웜처럼 작동한다는 것인데, 이는 감염된 기기로부터 다른 기기로 전파될 수 있다는 의미다. 이것만 해도 심상치 않은데 아미스는 블루투스 설정 기기 간에 랜섬웨어가 퍼지는 시나리오를 예상했다.



결함은 블루투스 프로토콜이 아닌 스택, 즉 블루투스 구현에 있다. 결함 가운데 4개는 안드로이드의 블루투스 스택에서 발견되었으며 윈도우와 iOS에서 각각 1개, 리눅스에서 2개가 발견됐다. 단순히 데스크톱, 노트북, 폰만의 문제가 아니다. 블루투스는 "일반 컴퓨터에서부터 모바일 기기는 물론 TV, 시계, 자동차, 심지어 의료 기기와 같은 IoT 기기에 이르기까지 온갖 종류의 기기에 사용된다"고 아미스는 경고했다.

블루본 위협에 영향을 받는 블루투스 기기
아미스에서 공개한 취약점에 영향을 받는 것은 안드로이드, 리눅스, 윈도우, iOS 사전 버전 10 운영체제를 실행하는 모든 기기에 해당되며 블루투스 버전과는 무관하다. 즉, 앞서 언급한 운영체제 가운데 한 가지를 실행하는 컴퓨터, 모바일 기기, 스마트 TV 등 IoT 기기는 8가지 취약점 가운데 최소한 한 가지 위험에 노출되어 있다고 보면 된다. 이런 기기는 전세계적으로 연결된 기기 전체 중에서 상당히 높은 부분을 차지한다. 다만 저전력 블루투스(BLE)를 지원하는 기기는 포함되지 않는다.

- 안드로이드 : 안드로이드의 블루투스 구현에 영향을 주는 4가지 결함은 원격 코드 실행(RCE)에 이르게 하는 것이 두 가지, 공격자의 중간자(MITM) 공격 수행을 가능하게 하는 것과 정보 유출을 초래하는 것이 각각 한 가지다.

RCE와 관련해 아미스에서 공개한 기술 백서에 명시된 내용은 다음과 같다.

악용이 성공하면 com.android.bluetooth 서비스의 권한 하에 RCE가 가능하다. 이 서비스는 안드로이드 기기에서 권한이 매우 많다. 파일 시스템에 대한 접근권(사용자의 전화번호부, 문서, 사진 등에 접근 가능)과 네트워크 스택에 대한 전면 통제권(데이터 추출, MITM 연결 및 네트워크 연결 등 허용 가능)이 있으며 심지어는 공격자가 기기 전면 통제를 위해 악용하는 연결 키보드나 마우스 작동도 가능하다. 또한, 블루투스 인터페이스 자체에 대한 전면 통제권이 있기 때문에 공격자는 희생자의 블루투스 인터페이스를 이용해 근처의 다른 기기를 공격할 수 있다. 따라서 이 공격은 웜으로 변한다.

영향을 받는 기기로는 구글 픽셀(Google Pixel), 삼성 갤럭시(Galaxy), 삼성 갤럭시 탭(Galaxy Tab), LG 워치 스포츠(Watch Sport), 펌킨(Pumpkin) 카 오디오 시스템 등이 있다.

안드로이드 기기 중에서 운영체제가 진저브레드(Gingerbread), 아이스크림 샌드위치(Ice Cream Sandwich), 젤리 빈(Jelly Bean)인 기기는 패치되지 않는다. 따라서 이들 기기에게는 제로데이(zero-day) 공격이 끝없이 계속되는 것과 다름없다. 9월 안드로이드 보안 소식에 따르면, 안드로이드 기기 가운데 운영체제가 4.4.4 이상인 킷캣(KitKat), 롤리팝(Lollipop), 마쉬멜로우(Marshmallow), 누가(Nougat), 오레오(Oreo)인 기기를 위한 패치가 공개되었다고 한다.



- 윈도우 : 마이크로소프트는 지난 7월 윈도우 패치를 발표했지만 중간자 공격을 허용하는 블루투스 결함에 대해서는 다른 업체에서 패치 가능할 때까지 언급하지 않았다. 아미스는 다음과 같이 밝혔다.

취약점은 블루투스 스택에 상주하며 공격자는 이를 악용해 희생자 기기에 악성 네트워크 인터페이스를 만들고 IP 라우팅을 재구성해 기기의 모든 통신이 악성 네트워크 인터페이스를 통해 전송되게 만들어 버린다. 사용자의 어떤 행동이나 인증 또는 페어링 등이 필요하지 않기 때문에 공격이 눈에 보이지 않게 이루어진다.

윈도우 폰 사용자라면 기뻐해도 좋다. 비록 사용자 수는 많지 않지만 취약하지 않은 기기이기 때문이다.



- 리눅스 : 리눅스에 영향을 미치는 두 가지 결함은 정보 유출 취약점과 '기기의 전면 통제로 이어질 수 있는' 스택 오버플로우(stack overflow)다. "티젠(Tizen) 기기와 같은 일부 리눅스 기반 기기와 삼성 기어(Gear) S3 스마트 워치, 몇 종의 삼성 TV, 소수의 드론 모델 등이 해당된다." 리눅스 배포 관리자들이 곧 수정판을 공개할 것으로 예상된다. 날짜는 9월 12일 전후가 될 것이다.



- 애플 : 애플은 블루본이 iOS 10에 위협이 되지 않는다고 주장했지만, 아미스는 "애플 기기 가운데 모바일 OS 9.3.5 이전 버전 사용 기기는 공격자가 상위 권한으로(블루투스 프로세스) RCE가 가능하도록 악용할 수 있는 결함에 취약하다"고 밝혔다.

또한 아르미스는 애플의 저전력 오디오 프로토콜(LEAP)에서의 RCE 결함 취약점을 경고했다. LEAP는 원격 시리(Siri Remote) 또는 저전력 헤드셋과 같은 저전력 주변기기에 오디오를 스트리밍하도록 설계되었다.

"LEAP를 통해 전송되는 오디오 명령은 적절하게 인증되지 않기 때문에 공격자는 메모리 손상을 이용해 기기 전면 통제권을 손에 넣을 수 있다."

가능하면 패치하는 것이 좋다. 그러나 펌웨어 수정판을 받지 못할 약 40%의 기기 사용자는 블루투스를 끄는 방법을 고려하지 않으면 안된다. editor@itworld.co.kr  


2017.09.14

블루본 위협, 53억 대 블루투스 탑재 기기 위험…삼성 갤럭시와 기어도 포함

Ms. Smith | CSO
사용자의 눈에 보이지 않게 공기 중으로 확산되고 사용자가 클릭이나 페어링, 다운로드 등의 행동을 전혀 하지 않고 심지어 검색 가능 모드를 설정하지 않아도 수십 억 대의 기기에 피해를 입힐 수 있는 공격이 등장했다.

바로 블루본(Blueborne)이라 명명된 공격 방법이다. 안드로이드(Android), 윈도우(Windows), 리눅스(Linux), iOS 등의 운영체제를 실행하는 53억 대 이상 기기의 블루투스(Bluetooth)에 영향을 주는 8종의 버그가 밝혀졌다.

IoT 보안업체 아미스(Armis)는 단지 기기의 블루투스를 켜는 것만으로도 10초 이내에 32피트(약 10미터) 거리에서 감염될 수 있다고 경고했다. 일반 웜처럼 작동한다는 것인데, 이는 감염된 기기로부터 다른 기기로 전파될 수 있다는 의미다. 이것만 해도 심상치 않은데 아미스는 블루투스 설정 기기 간에 랜섬웨어가 퍼지는 시나리오를 예상했다.



결함은 블루투스 프로토콜이 아닌 스택, 즉 블루투스 구현에 있다. 결함 가운데 4개는 안드로이드의 블루투스 스택에서 발견되었으며 윈도우와 iOS에서 각각 1개, 리눅스에서 2개가 발견됐다. 단순히 데스크톱, 노트북, 폰만의 문제가 아니다. 블루투스는 "일반 컴퓨터에서부터 모바일 기기는 물론 TV, 시계, 자동차, 심지어 의료 기기와 같은 IoT 기기에 이르기까지 온갖 종류의 기기에 사용된다"고 아미스는 경고했다.

블루본 위협에 영향을 받는 블루투스 기기
아미스에서 공개한 취약점에 영향을 받는 것은 안드로이드, 리눅스, 윈도우, iOS 사전 버전 10 운영체제를 실행하는 모든 기기에 해당되며 블루투스 버전과는 무관하다. 즉, 앞서 언급한 운영체제 가운데 한 가지를 실행하는 컴퓨터, 모바일 기기, 스마트 TV 등 IoT 기기는 8가지 취약점 가운데 최소한 한 가지 위험에 노출되어 있다고 보면 된다. 이런 기기는 전세계적으로 연결된 기기 전체 중에서 상당히 높은 부분을 차지한다. 다만 저전력 블루투스(BLE)를 지원하는 기기는 포함되지 않는다.

- 안드로이드 : 안드로이드의 블루투스 구현에 영향을 주는 4가지 결함은 원격 코드 실행(RCE)에 이르게 하는 것이 두 가지, 공격자의 중간자(MITM) 공격 수행을 가능하게 하는 것과 정보 유출을 초래하는 것이 각각 한 가지다.

RCE와 관련해 아미스에서 공개한 기술 백서에 명시된 내용은 다음과 같다.

악용이 성공하면 com.android.bluetooth 서비스의 권한 하에 RCE가 가능하다. 이 서비스는 안드로이드 기기에서 권한이 매우 많다. 파일 시스템에 대한 접근권(사용자의 전화번호부, 문서, 사진 등에 접근 가능)과 네트워크 스택에 대한 전면 통제권(데이터 추출, MITM 연결 및 네트워크 연결 등 허용 가능)이 있으며 심지어는 공격자가 기기 전면 통제를 위해 악용하는 연결 키보드나 마우스 작동도 가능하다. 또한, 블루투스 인터페이스 자체에 대한 전면 통제권이 있기 때문에 공격자는 희생자의 블루투스 인터페이스를 이용해 근처의 다른 기기를 공격할 수 있다. 따라서 이 공격은 웜으로 변한다.

영향을 받는 기기로는 구글 픽셀(Google Pixel), 삼성 갤럭시(Galaxy), 삼성 갤럭시 탭(Galaxy Tab), LG 워치 스포츠(Watch Sport), 펌킨(Pumpkin) 카 오디오 시스템 등이 있다.

안드로이드 기기 중에서 운영체제가 진저브레드(Gingerbread), 아이스크림 샌드위치(Ice Cream Sandwich), 젤리 빈(Jelly Bean)인 기기는 패치되지 않는다. 따라서 이들 기기에게는 제로데이(zero-day) 공격이 끝없이 계속되는 것과 다름없다. 9월 안드로이드 보안 소식에 따르면, 안드로이드 기기 가운데 운영체제가 4.4.4 이상인 킷캣(KitKat), 롤리팝(Lollipop), 마쉬멜로우(Marshmallow), 누가(Nougat), 오레오(Oreo)인 기기를 위한 패치가 공개되었다고 한다.



- 윈도우 : 마이크로소프트는 지난 7월 윈도우 패치를 발표했지만 중간자 공격을 허용하는 블루투스 결함에 대해서는 다른 업체에서 패치 가능할 때까지 언급하지 않았다. 아미스는 다음과 같이 밝혔다.

취약점은 블루투스 스택에 상주하며 공격자는 이를 악용해 희생자 기기에 악성 네트워크 인터페이스를 만들고 IP 라우팅을 재구성해 기기의 모든 통신이 악성 네트워크 인터페이스를 통해 전송되게 만들어 버린다. 사용자의 어떤 행동이나 인증 또는 페어링 등이 필요하지 않기 때문에 공격이 눈에 보이지 않게 이루어진다.

윈도우 폰 사용자라면 기뻐해도 좋다. 비록 사용자 수는 많지 않지만 취약하지 않은 기기이기 때문이다.



- 리눅스 : 리눅스에 영향을 미치는 두 가지 결함은 정보 유출 취약점과 '기기의 전면 통제로 이어질 수 있는' 스택 오버플로우(stack overflow)다. "티젠(Tizen) 기기와 같은 일부 리눅스 기반 기기와 삼성 기어(Gear) S3 스마트 워치, 몇 종의 삼성 TV, 소수의 드론 모델 등이 해당된다." 리눅스 배포 관리자들이 곧 수정판을 공개할 것으로 예상된다. 날짜는 9월 12일 전후가 될 것이다.



- 애플 : 애플은 블루본이 iOS 10에 위협이 되지 않는다고 주장했지만, 아미스는 "애플 기기 가운데 모바일 OS 9.3.5 이전 버전 사용 기기는 공격자가 상위 권한으로(블루투스 프로세스) RCE가 가능하도록 악용할 수 있는 결함에 취약하다"고 밝혔다.

또한 아르미스는 애플의 저전력 오디오 프로토콜(LEAP)에서의 RCE 결함 취약점을 경고했다. LEAP는 원격 시리(Siri Remote) 또는 저전력 헤드셋과 같은 저전력 주변기기에 오디오를 스트리밍하도록 설계되었다.

"LEAP를 통해 전송되는 오디오 명령은 적절하게 인증되지 않기 때문에 공격자는 메모리 손상을 이용해 기기 전면 통제권을 손에 넣을 수 있다."

가능하면 패치하는 것이 좋다. 그러나 펌웨어 수정판을 받지 못할 약 40%의 기기 사용자는 블루투스를 끄는 방법을 고려하지 않으면 안된다. editor@itworld.co.kr  


X