세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
페이스북만 파는 전문가, 작년에만 세 가지 취약점 발견
  |  입력 : 2018-03-14 15:06
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
친구 목록 및 계정 정보 일부 노출시키는 오류 발견
오큘러스 통해 계정 탈취도 가능...페이스북은 매번 ‘즉시 대응’


[보안뉴스 문가용 기자] 한 보안 전문가가 지난 해 페이스북에 여러 차례 취약점을 제보한 것으로 나타났다. 그냥 자잘한 취약점이 아니라 친구 목록과 지불카드 정보가 노출될 수 있는 심각한 취약점이었다고 한다. 페이스북은 이러한 제보가 들어올 때마다 문제를 거의 즉시 해결했다.

[이미지 = iclickart]


이 인물은 요십 프란지코빅(Josip Franjkovic)이라는 웹 보안 컨설턴트로 안드로이드용 페이스북 애플리케이션을 분석하던 와중에 이와 같은 오류들을 발견했다고 한다. 처음 발견한 취약점을 통해 그는 친구 목록 정보를 취득하는 데에 성공했다. “물론 페이스북의 친구 목록은 공개된 정보죠. 하지만 프라이버시 세팅을 조정해 열람을 막을 수 있습니다. 제가 발견한 취약점은 옵션을 아무리 조정해도 친구 목록을 볼 수 있게 해주었습니다.”

그는 설명을 이어갔다. “그래프QL(GraphQL)은 오픈소스 데이터 쿼리 언어로 페이스북이 직접 모바일 앱 개발용으로 개발한 겁니다. 그래프QL 쿼리들은 페이스북의 애플리케이션들에만 사용될 수 있죠. 화이트리스트된 쿼리 ID들만 허용하고, 이러한 ID를 활용하려면 접근 토큰이 필요합니다.”

하지만 프란지코빅은 자신도 이러한 클라이언트 토큰을 사용할 수 있다는 걸 발견했다. 즉 화이트리스트를 우회할 수 있는 방법을 발견해낸 것이다. “doc_id라는 매개변수를 query_id 대신에 전송하면 화이트리스트를 우회할 수 있게 되더라고요.”

그런 후에 프란지코빅은 그래프QL 쿼리들을 전송하기 시작했다. 대부분 이미 공개된 데이터를 돌려주기 시작했는데, CSPlaygroundGraphQLFriendsQuery라는 쿼리 만큼은 비공개된 친구 목록 값도 전달했다.

프란지코빅이 찾은 두 번째 취약점 역시 그래프QL과 관련이 있는 것이다. 역시나 안드로이드용 페이스북 앱을 분석하다가 발견했다. “지불카드 정보 일부를 탈취할 수 있게 해주는 취약점입니다. 표적이 된 사용자의 ID와 접근 토큰이 포함된 쿼리를 전송함으로서 익스플로잇이 가능하더군요.”

이 취약점의 경우 ‘안전하지 않은 직접 객체 참조(insecure direct object reference)’라고 분류가 가능하다고 한다. “지불카드의 첫 여섯 자리 숫자들과 마지막 네 자리 숫자들을 취득하는 게 가능하더군요. 또한 카드 만료일과 종류, 사용자의 이름, 국가 정보들도 찾아내는 데 성공했습니다.”

작년 10월 6일 프란지코빅은 첫 번째 취약점을 페이스북에 알렸다. 페이스북은 10월 중순 전에 패치를 완료했다. 지불카드 취약점의 경우는 2018년 2월에 알렸고, 패치는 4시간 13분 만에 완료됐다. 이 두 가지 보고로 프란지코빅은 버그바운티 상금을 얻었는데, 그 금액은 아무도 공개하지 않고 있다.

프란지코빅은 세 번째 취약점 역시 발견하는 데 성공했다고 올해 1월 발표했다. 이는 오큘러스와 관련이 있는 것인데, 결과적으로 계정 탈취에 성공할 수 있게 해준다고 한다. “특정 오큘러스 앱에 소셜 미디어 기능이 있는데, 여기에 조작된 그래프QL 요청을 사용하면 누구나 사용자의 계정에 접속할 수 있게 됩니다.”

이 취약점은 패치하는 데 시간이 좀 더 걸렸다. “10월 24일에 페이스북에 알렸고, 완전한 패치가 나온 건 10월 30일이었습니다.” 이 경우에도 버그바운티 포상금이 주어졌지만 프란지코빅은 금액을 공개하지 않고 있다.

한편 페이스북은 2017년 한 해 동안 총 88만 달러를 버그바운티 상금으로 지출했다고 발표한 바 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술