패치업
 
home > 패치업 > 보안권고문
HTC 안드로이드폰 Wi-Fi 인증정보 유출 취약점 관련 보안 업데이트 권고
2012-02-16 3662
□ 개요

o HTC社의 일부 안드로이드폰에서 Wi-Fi 인증정보(SSID, 사용자이름, 암호)가 유출될 수 있는 취약점이 공개됨

(CVE-2011-4872) [1][2]

o 공격자에 의해 악의적으로 제작된 앱을 설치․사용할 경우 Wi-Fi 네트워크 패킷 스니핑 등의 공격으로 인한 개인정보

유출 피해를 입을 수 있음 [3]

o 취약한 HTC 안드로이드폰 사용자는 아래 내용을 참고하여 안드로이드 OS 버전을 확인하고 최신 운영체제 업데이트

적용 권고



□ 해당 시스템(국내 출시 기기 기준)

o 영향 받는 기기 및 안드로이드 버전

- HTC 디자이어 HD : 안드로이드 2.3.3(Gingerbread)이하 버전

- HTC 센세이션 : 안드로이드 2.3.3(Gingerbread)이하 버전

- HTC EVO 4G+ : 안드로이드 2.3.3(Gingerbread)이하 버전

o 영향 받지 않는 기기 및 안드로이드 버전

- HTC 디자이어 HD : 안드로이드 2.3.4(Gingerbread)이상 버전

- HTC 센세이션 : 안드로이드 2.3.4(Gingerbread)이상 버전

- HTC EVO 4G+ : 안드로이드 2.3.4(Gingerbread)이상 버전

- 그 외 HTC 기기



□ 안드로이드 버전확인

o 메뉴 → 설정 → 휴대전화 정보 → 소프트웨어 정보 → Android 버전

※ HTC 디자이어 HD 기준








□ 해결방안

o 안드로이드 2.3.3(Gingerbread)이하 버전인 경우 최신 버전으로 업데이트 적용

- 그림과 같이 업데이트 유무를 확인하여 소프트웨어 업데이트

※ 메뉴 → 설정 → 휴대전화 정보 → 소프트웨어 업데이트 → 지금 확인

※ 업데이트 실행 전에 사용자 데이터 백업 권장







□ 용어 정리

o 패킷 스니핑 : 네트워크 상에서 통신하는 내용을 가로채는 공격기법

o SSID : 서비스 접속 아이디(Service Set Identifier)



□ 기타 문의사항

o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118



[참고사이트]

[1] http://packetstormsecurity.org/files/109344/802.1X-HTC-Android-Credential-Exposure.html

[2] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4872

[3] http://www.infosecurity-us.com/blog/2012/2/3/what-can-a-hacker-do-with-stolen-wifi-credentials/502.aspx
 
Untitled Document