Home > 전체기사
페이스북, 민감한 정보 유출시키는 왓츠앱 오류 패치해
  |  입력 : 2019-10-07 12:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
한 보안 전문가가 발견한 CVE-2019-11932…왓츠앱 2.19.244 버전 통해 패치
원격 코드 실행함으로써 권한 상승하고, 민감한 데이터에 접근 가능케 해주는 버그


[보안뉴스 문가용 기자] 페이스북이 최근 안드로이드용 왓츠앱(WhatsApp)에서 발견된 취약점을 패치했다. 이 취약점을 통해 일부 사이버 공격자들이 임의의 코드를 실행함으로써 사용자들의 민감한 데이터에 접근한 것으로 의심된다.

[이미지 = iclickart]


이 취약점은 CVE-2019-11932이며, 온라인 상에서 어웨이큰드(Awakened)라는 이름으로 활동하는 익명의 보안 전문가가 발견했다. 어웨이큰드에 따르면 CVE-2019-11932가 ‘더블 프리(double free) 버그’의 일종이라고 묘사했다.

페이스북은 어웨이큰드의 오류 보고서를 접수하고 왓츠앱 2.19.244 버전을 발표해 문제를 해결했다. 그러면서 “안드로이드 8.1과 9.0 버전을 기반으로 한 장비에 설치된 왓츠앱에서 원격 코드 실행을 가능케 하는 취약점이 발견됐다”고 발표했다. 어웨이큰드에 따르면 그 전 안드로이드 버전에서 공격을 실시할 경우 디도스 공격만 가능하다고 한다.

정확히 취약점이 발견된 곳은 libpl_droidsonroids_gif.so라는 오픈소스 라이브러리다. 왓츠앱은 이 라이브러리를 사용해 GIF 파일들에 대한 ‘미리보기’ 기능을 수행한다. 이번에 패치가 나오면서 이 라이브러리에 있는 취약점도 해결이 된 상태라고 한다.

이 취약점을 익스플로잇하는 데 성공할 경우 악성 행위자들은 침투에 성공한 안드로이드 장비에서 권한을 상승시킬 수 있고, 장비 내 저장된 각종 파일들에 접근할 수 있게 된다. 당연히 왓츠앱 데이터베이스에 저장된 메시지들도 여기에 포함된다. 이런 상황을 활용해 공격자들은 왓츠앱 컨텍스트에서 원격 셸을 생성할 수도 있다.

익스플로잇 하려면 공격자가 악성 GIF 파일을 만들어야 한다. 공격 표적이 된 사용자가 악성 GIF 파일을 열면 취약점이 발동되도록 할 수 있다. 그러나 이 과정의 난이도가 낮은 것은 아니라고 어웨이큰드는 설명한다. “공격을 성립시키려면 공격자 자신이 피해자의 연락처 정보에 저장되어 있어야 합니다. 그래야 조작한 GIF 파일이 효력을 발휘할 수 있습니다.”

게다가 전제 조건이 하나 더 있다. “공격의 표적이 되는 장비에 CVE-2019-11932 외에 다른 취약점이나 악성 앱이 존재해야 합니다. 그래야 그걸 통해서 뚫고 들어가서 CVE-2019-11932를 익스플로잇 할 수 있습니다.”

보안 업체 시놉시스(Synopsys)의 수석 전략가인 조나단 누드센(Jonathan Knudsen)은 “악의적인 입력 값을 가지고 소프트웨어를 얼마나 치명적으로 망가트릴 수 있는지가 다시 한 번 드러났다”고 평가한다. “퍼징(fuzzing)을 좀 더 꼼꼼하게 실시했으면 파악했을 가능성이 있는 취약점입니다. 퍼징 테스트가 중요하면서도 자주 간과되는데, 이번 왓츠앱 패치를 통해 개발사들이 다시 한 번 퍼징에 대해 생각해봤으면 합니다.”

그러면서 누드센은 “다행이라면, 이번에 발견된 취약점 그 자체만을 가지고 장비에 침투해 완전 장악할 수 있는 건 아니라는 것”이라고 설명을 이어갔다. “먼저 다른 취약점 등을 활용해 침투한 후 장비의 메모리 매핑 상태를 파악한 후에야 GIF 파일을 만들어낼 수 있습니다. 광범위하게 활용될 만한 취약점은 아니라는 겁니다.”

한편 어웨이큰드는 자신이 발견한 취약점의 기술적 세부 사항과 개념증명 코드를 자신의 블로그(https://awakened1712.github.io/hacking/hacking-whatsapp-gif-rce/)를 통해 공개했다.

3줄 요약
1. 왓츠앱의 라이브러리에서 위험한 취약점 발견됨.
2. 특수하게 조작된 GIF 파일 보내면, 장비에 저장된 민감한 정보에 접근할 수 있음.
3. 퍼징 테스트 좀 더 꼼꼼하게 했으면 발견 가능했던 문제.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제