구식 공격에 취약한 최신 스마트 폰

시간이 흐르면서 구식 기술은 종종 사용되지 않고 쓸모없는 쓰레기통으로 옮겨집니다. VHS 테이프, 플로피 디스크 및 전화 접속 인터넷 소리가있는 차갑고 외로운 묘지입니다.


인터넷에 필요한 앱 없음

물론 우리의 스마트 폰은 작은 크기의 작은 컴퓨터 강국으로 진화했을지 모르지만 여전히 명백한 이유로 '전화'라고 불립니다. 우리는 여전히 셀룰러 네트워크를 통해 전화를 걸 때 사용합니다. (아직도 그래요?)




따라서 현대의 스마트 폰은 구식 전화의 특정 기능과 단점을 물려 받았습니다. 그리고 지금, 잊혀진 것과는 달리,이 구식 기술 중 일부는 여전히 심각한 공격에 이용 될 수 있습니다!



이러한 새로 발견 된 취약점이 왜 치명적인지 계속 읽어보십시오.

구식 AT 압정

플로리다 대학교, 스토니 브룩 대학교 및 삼성 리서치 아메리카의 11 명의 연구원이 공동으로 노력한 결과 현대 안드로이드 스마트 폰은 여전히 ​​위험한 AT 명령에 취약하다.




AT (주의) 명령이란 무엇입니까? Hayes 명령 세트라고도하는이 코드는 80 년대에 모뎀에 전화를 걸거나 끊거나 연결 설정을 변경하도록 명령하는 방식으로 개발되었습니다. AT 명령은 일반 전화선을 통해 전송되도록 설계 되었기 때문에 일반적으로 짧고 실행하기 쉽습니다.

이제 여러분은이 스마트 폰과 인터넷 시대에이 오래된 학교 코드는 이제 쓸모 없어야한다고 생각할 것입니다. 다시 생각 해봐

위험한 AT 명령을 이용할 수 있습니다

현대의 스마트 폰에서도 여전히 기본 모뎀이 포함되어 있으며 여전히 다양한 AT 명령에 취약합니다.




연구원들은 ASUS, Google, HTC, Huawei, Lenovo, LG, Motorola, Samsung, Sony, ZTE 등 11 개 스마트 폰 제조업체의 2,000 개가 넘는 Android 펌웨어 이미지를 분석했습니다.

그들이 발견 한 것은 상당히 놀랍습니다. 그들은 분석 한이 안드로이드 폰은 카메라와 터치 스크린 제어와 같은 중요한 기능에 액세스 할 수있는 특정 통신사 명령을 포함하여 3,500 가지가 넘는 AT 명령을 여전히 지원한다고 말했다.

이 공격을 시작하는 방법

현재 연구원들은 이러한 AT 명령 공격은 스마트 폰의 USB 인터페이스를 통해서만 시작할 수 있다고 지적했다. 즉, 공격자는 명령을 실행하기 위해 피해자의 가제트에 물리적으로 액세스하거나 USB 인터페이스 (액세서리, 충전 스테이션 등)를 부비 트랩해야합니다.




USB 포트를 통해 가젯이 손상되면 공격자는 secret AT 명령을 실행하여 Android 보안을 우회하고 펌웨어를 다시 작성하며 데이터를 도용하고 터치 명령을 복제 할 수도 있습니다. AT 명령은 경우에 따라 Android 가젯의 USB 디버깅 모드가 활성화 된 경우에만 사용할 수 있습니다.

그러나 연구원들은 많은 전화가 잠겨 있어도 AT 명령에 직접 액세스 할 수 있다고 경고했다. 더 무서운 것은 여전히 ​​많은 명령이 문서화되어 있지 않으며 전화 제조업체의 문서조차도 어디에서나 언급하지 않습니다.

보시다시피 아래 비디오가장 큰 위험은 해커가 AT 명령을 통해서만 터치 디스플레이 탭을 복제하는 능력에서 비롯됩니다. 이러한 코드를 사용하여 공격자는 Android 가젯을 완전히 제어하고 추가 악성 앱을 설치할 수 있습니다.

어떤 전화가 영향을 받습니까?

연구원들은 모든 제조업체 및 전화 모델 목록이 포함 된 웹 페이지 AT 명령에 취약한 것으로 나타났습니다. 매우 광범위한 데이터베이스이지만 제조업체를 통해 정렬 할 수 있으며 모델은 사전 순으로 정렬됩니다.




영향을받는 공급 업체와 회사에도 보안 위험에 대한 알림이 표시되었으며 이러한 AT 명령 취약점에 대한 패치가 곧 출시 될 것으로 예상됩니다. 이러한 초기 결과는 안드로이드 폰과 USB 인터페이스에 국한되어 있지만 연구원들은 현재 Wi-Fi 및 Bluetooth 인터페이스와 같은 무선 벡터뿐만 아니라 iPhone에 대한 유사한 공격도 테스트하고 있습니다.

이 연구에 대한 자세한 내용은 팀의 연구 논문을 읽어보십시오.주의 범위 : 안드로이드 생태계 내에서 AT 명령의 포괄적 인 취약점 분석

공공 충전소에주의하십시오

이 공격은 현재 휴대 전화의 USB 인터페이스를 통해서만 시작할 수 있으므로 자신을 보호하는 확실한 방법은 항상 스마트 폰을 주시하는 것입니다. 또한 공공 충전소와 알 수없는 USB 액세서리에주의하십시오.




가장 안전한 방법은 자체 USB 케이블과 충전기를 가져와 벽면 콘센트에 직접 연결하는 것입니다. 여행중인 경우 휴대 전화 충전 키트는 어쨌든 가져와야 할 필수 요소 중 하나입니다.

케이블이나 충전기가 없거나 사용 가능한 벽면 콘센트가없는 경우, 부비 트랩 충전 스테이션이 전화기를 공격하는 것을 방지하는 또 다른 방법은 연결되어있는 동안 간단히 끄고 끄는 것입니다. 한 시간 정도 충전 한 후에 플러그를 뽑았다가 다시 켜십시오.