안드로이드에서는 플래시 SMS(또는 Class 0 SMS) 기능을 제공하여, 마치 앱에서 경고창이 나타날 경우와 비슷한 UI 를 SMS로 사용할 수 있도록 API를 제공하고 있습니다. 플래시 SMS는 경고창과 같이 작동하기 때문에 사용자가 어떠한 작업을 하는 것과는 별개로 항상 화면 최 상단에 노출되어 저장 혹은 삭제 등의 명령을 입력해주지 않으면 다른 작업을 할 수 없습니다. 


넥서스폰의 경우 이러한 플래시 SMS가 수신될 경우 모든 작업이 백그라운드로 흐릿하게 표시되고 SMS창이 작업화면을 덮어씌워 최 상단에 나타나 명령을 기다리게 됩니다. 제 때 명령을 입력하지 않아 미처 창이 닫히기 전에 다시 새 플래시 SMS가 수신 될 경우에는 기존 SMS창 위에 또 다시 새롭게 수신된 SMS 창이 나타나게 되는데


이런 방식으로 약 30개 이상의 SMS 창이 중첩되어 나타날 경우에는 스마트폰 상의 오류로 재부팅이 되는 것입니다. 가장 큰 문제는 스마트폰이 재부팅 될 때 까지 플래시 SMS가 수신되더라도 어떠한 수신음이 들리지 않기 때문에 사용자는 알아채지 못할 수 있습니다. 


재부팅이 될 경우에는 재부팅 음이 나타나기 때문에 바로 휴대폰을 복구할 수 있습니다. 하지만 가장 큰 문제는 간헐적으로 오류는 발생하였으나 재부팅이 되지 않는 경우가 있는데, 마치 기본 탑재된 기능인 "비행기 모드" 와 같이 모든 데이터, 통신 수신이 불가능상태가 되며, 어떠한 경고음도 나타나지 않기 때문에 사용자는 직접 수신환경을 테스트 하기 전까지는 통신이 되지 않고 있다는 사실을 모르게 됩니다. 전화, 문자, 데이터가 모두 되지 않기 때문에 중요한 전화, 문자, 카카오톡 등을 수신 받지 못하여 큰 피해를 보실 수도 있습니다. 


해당 취약점을 구글측에 통보하였으나 아직까지 패치되지 않았다고 하니 평소에 스마트폰 수신상태를 수시점검해보는 것이 좋을 것 같습니다.


[전자신문] 넥서스폰 대상 서비스거부 공격 이렇게? - http://mcaf.ee/y9tj8

[ZDnet] 넥서스5서 SMS 폭탄 전송 취약점 발견 - http://mcaf.ee/b2z97

[examiner.com] Google Nexus smartphones susceptible to SMS-based DOS attack - http://mcaf.ee/a46iw




+ Recent posts