Home > 전체기사
페이스북, 민감한 정보 유출시키는 왓츠앱 오류 패치해
  |  입력 : 2019-10-07 12:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
한 보안 전문가가 발견한 CVE-2019-11932…왓츠앱 2.19.244 버전 통해 패치
원격 코드 실행함으로써 권한 상승하고, 민감한 데이터에 접근 가능케 해주는 버그


[보안뉴스 문가용 기자] 페이스북이 최근 안드로이드용 왓츠앱(WhatsApp)에서 발견된 취약점을 패치했다. 이 취약점을 통해 일부 사이버 공격자들이 임의의 코드를 실행함으로써 사용자들의 민감한 데이터에 접근한 것으로 의심된다.

[이미지 = iclickart]


이 취약점은 CVE-2019-11932이며, 온라인 상에서 어웨이큰드(Awakened)라는 이름으로 활동하는 익명의 보안 전문가가 발견했다. 어웨이큰드에 따르면 CVE-2019-11932가 ‘더블 프리(double free) 버그’의 일종이라고 묘사했다.

페이스북은 어웨이큰드의 오류 보고서를 접수하고 왓츠앱 2.19.244 버전을 발표해 문제를 해결했다. 그러면서 “안드로이드 8.1과 9.0 버전을 기반으로 한 장비에 설치된 왓츠앱에서 원격 코드 실행을 가능케 하는 취약점이 발견됐다”고 발표했다. 어웨이큰드에 따르면 그 전 안드로이드 버전에서 공격을 실시할 경우 디도스 공격만 가능하다고 한다.

정확히 취약점이 발견된 곳은 libpl_droidsonroids_gif.so라는 오픈소스 라이브러리다. 왓츠앱은 이 라이브러리를 사용해 GIF 파일들에 대한 ‘미리보기’ 기능을 수행한다. 이번에 패치가 나오면서 이 라이브러리에 있는 취약점도 해결이 된 상태라고 한다.

이 취약점을 익스플로잇하는 데 성공할 경우 악성 행위자들은 침투에 성공한 안드로이드 장비에서 권한을 상승시킬 수 있고, 장비 내 저장된 각종 파일들에 접근할 수 있게 된다. 당연히 왓츠앱 데이터베이스에 저장된 메시지들도 여기에 포함된다. 이런 상황을 활용해 공격자들은 왓츠앱 컨텍스트에서 원격 셸을 생성할 수도 있다.

익스플로잇 하려면 공격자가 악성 GIF 파일을 만들어야 한다. 공격 표적이 된 사용자가 악성 GIF 파일을 열면 취약점이 발동되도록 할 수 있다. 그러나 이 과정의 난이도가 낮은 것은 아니라고 어웨이큰드는 설명한다. “공격을 성립시키려면 공격자 자신이 피해자의 연락처 정보에 저장되어 있어야 합니다. 그래야 조작한 GIF 파일이 효력을 발휘할 수 있습니다.”

게다가 전제 조건이 하나 더 있다. “공격의 표적이 되는 장비에 CVE-2019-11932 외에 다른 취약점이나 악성 앱이 존재해야 합니다. 그래야 그걸 통해서 뚫고 들어가서 CVE-2019-11932를 익스플로잇 할 수 있습니다.”

보안 업체 시놉시스(Synopsys)의 수석 전략가인 조나단 누드센(Jonathan Knudsen)은 “악의적인 입력 값을 가지고 소프트웨어를 얼마나 치명적으로 망가트릴 수 있는지가 다시 한 번 드러났다”고 평가한다. “퍼징(fuzzing)을 좀 더 꼼꼼하게 실시했으면 파악했을 가능성이 있는 취약점입니다. 퍼징 테스트가 중요하면서도 자주 간과되는데, 이번 왓츠앱 패치를 통해 개발사들이 다시 한 번 퍼징에 대해 생각해봤으면 합니다.”

그러면서 누드센은 “다행이라면, 이번에 발견된 취약점 그 자체만을 가지고 장비에 침투해 완전 장악할 수 있는 건 아니라는 것”이라고 설명을 이어갔다. “먼저 다른 취약점 등을 활용해 침투한 후 장비의 메모리 매핑 상태를 파악한 후에야 GIF 파일을 만들어낼 수 있습니다. 광범위하게 활용될 만한 취약점은 아니라는 겁니다.”

한편 어웨이큰드는 자신이 발견한 취약점의 기술적 세부 사항과 개념증명 코드를 자신의 블로그(https://awakened1712.github.io/hacking/hacking-whatsapp-gif-rce/)를 통해 공개했다.

3줄 요약
1. 왓츠앱의 라이브러리에서 위험한 취약점 발견됨.
2. 특수하게 조작된 GIF 파일 보내면, 장비에 저장된 민감한 정보에 접근할 수 있음.
3. 퍼징 테스트 좀 더 꼼꼼하게 했으면 발견 가능했던 문제.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)