문제의 CVE-6602 !


 독일 Zimperrium labs 에서 일명 Statefright 이슈가 공식화 된 지가 좀 된 듯 합니다만, 여전히 대부분의 AOSP 기반 기기들은 이 문제를 해결하지 못하고 있는 것이 현실 입니다. 특히 Android 5.1.2 이전의 대부분 기기들은 이 문제점을 그대로 가지고 있으며, 이것은 MMS 로 mp4나 mp3 등의 파일을 받을때, 내부에 tag 정보의 buffer over/underflow 를 이용하여 원격 제어 권한을 획득 하는 아주 어처구니 없는 문제점을 야기하게 됩니다.

 Ulefone Paris 역시 마지막 공식 업데이트 2016년 1월 28일 이후 이 업데이트가 전혀 이루어 지지 않고 있으며, 이것을 해결 하기 위해서는 사용자가 직접 /system/lib 및 /system/lib64 를 업데이트 해야 합니다. 말이야 쉽지, /system 은 일반 사용자가 접근해서 막 파일을 바꿔 쓸 수 있는 곳이 아닙니다.

 사용자가 이 문제점을 해결 하기 위해서는 recovery 파티션에 올라가 있는 이미지를 TWRP 나 CWM 과 같은 사용자가 직접 만든 recovery binary 로 변경을 해야 하며, 이 방법은 fastboot 에서 "oem unlock" 을 하고, "flash recovery twrp4ulefone_paris.img" 를 하던, SP Flash Tool 과 같은 mediatek 전용 프로그램을 써서 하던 변경을 해야 합니다.

 물론 이 문제를 해결 하고 나면 아래와 같이 더이상 MMS 의 공격을 통해 내 폰의 정보를 탈취 당하는 일은 그나마 줄어 들게 됩니다. (그러나, 안드로이드의 태생적 문제점인 언제 어디서 내 폰이 털릴지 모른다! 는 해결 되지 않음)



 사용자가 TWRP 를 설치 하기 위해서는 일단, Ulefone Paris 용으로 빌드 된 TWRP 가 필요 하며, 이는 러시아 4PDA 쪽이나 XDA 에서 해당 이미지를 쉽게 구할 수 있으니, 원래 제작자 페이지에서 찾아서 받으시길 권장 드립니다.

 여기에 추가로 따로 구해야 하는 것은 SP Flash tool 이며, 이 Tool 로 아래 처럼 recovery 이미지에만 쓴다고 처리 하고 (scatter-load txt 도 지정 해야 함) 프래싱 처리 하면 됩니다. 아무나 이걸 하면 폰이 벽돌이 될 수 있으니, 자세한 사용법이나 추가적인 부분들은 어느정도 검색이 되고, 숙련이 된 분들만 하시길 권장 드립니다.



 물론 이 노가다를 하고 나서, 원래 공식 이미지에 있는 recovery 를 다시 씌우면 추후 있을지 없을지 모르겠는 OTA update 를 다시 처리할 수 있는 날이 올지도 모르겠습니다만, 중국에서 100 USD 언저리로 만들어 파는 이 폰을 제조사인 Ulefone 에서 Marshmallow 로 올려 줄 리는 만무 해 보입니다.

 그나마 최근에 Vienna 라는 가성비 놀라운 기기를 무려 160 USD 언저리로 팔긴 하던데, 여기에만 Marshmallow 가 올라 갈 것이라 할 뿐 ... 실질적인 약속이 어떻게 될 지는 모르는 지라 그냥 포기하고 5.1 로 그냥 쓰는 것이 가장 마음의 안정을 찾을 수 있지 않을까 합니다.

 사실 libutil 이 선사 해 준 이 엄청난 문제점은 문제점이 해결된 lib 파일들만 새로 덮어 씌어 주면 해결 될 일인지라, rooting 을 하는 것도 아니다 보니 recovery 만 변경 후, zip update 만 하고 나서 다시 원복 하는 방법이 가장 깔끔할지도 모르겠습니다. 물론 저는 TWRP 를 그대로 남겨 두고, 엉터리로 만들어진 카메라 소리들도 좀 손을 보았습니다. (실제 ogg 를 보면 욕을 하게 됨)


사족...

 참고로 국내에서 나온 대부분의 안드로이드 (마시멜로우 올라간 거 아닌 것들) 들은 위의 CVE-6602 만이 거의 3,4 개의 다른 문제점을 그대로 가지고 있습니다. LG Optimus GK 가 5.0.2 인가 그런데, 이건 뭐 MMS 받으면 폰이 자동 폭파 할 수준 이었습니다. 사실 중국산 폰 보다 못한 보안 패치를 해결도 안해 주고 있는 것 이니, 참 아이러니 하다 하겠습니다. 그나마 최신 업데이트 해 주는 기기 말고는 보안패치도 안 해 주니, 국산이 아직도 좋다? 이건 정말 아닌 세상인듯 합니다.

Posted by 견족자K rageworx