Feedly 앱, 자바스크립트 인젝션 취약점 발견

사용자 쿠키값·웹페이지 변조 등 정보수집 및 추가공격 가능
취약점 업데이트 됐지만 보안조치 내용 공개되지 않아

[보안뉴스 김경애] 블로그, 잡지, 웹사이트 등을 한번에 검색할 수 있는 RSS 구독 안드로이드앱 ‘Feedly’에서 자바스크립트 삽입 공격을 통해 다양한 형태의 정보수집 및 추가공격이 가능한 것으로 조사됐다.

▲스크립트 삽입후 실행화면

Feedly는 iOS와 안드로이드 기기 모두 사용할 수 있으며, 이용자는 안드로이드기기에서만 5백만명 이상이다.

이와 관련 싱가포르 보안전문가 Jeremy S.에 따르면 인기 RSS 구독 앱인 ‘Feedly’에서 악성스크립트 삽입 공격에 취약점이 발견됐다고 밝혔다.

Jeremy 연구원은 “Feedly 앱에서는 웹사이트 및 블로그에 있는 자바스크립트 코드를 검증하는 절차 없이 검색페이지를 불러오게 돼 사용자가 Feedly 앱을 통해 RSS 가입된 사이트의 내용을 탐색할 때 변조된 블로그 페이지를 통해 악성스크립트가 실행될 수 있다”고 설명했다.

악성스크립트가 실행될 경우 사용자 쿠키값 변조, 웹페이지 내용의 변조, 다른 사용자 공격을 위한 악성코드 삽입 등 다양한 형태의 정보 수집 및 추가 공격이 가능하다는 것.

해당 취약점에 대해 Jeremy 연구원은 “지난 3월 10일 ‘Feedly’에 통보한 후 3월 17일 해당 앱의 취약점 업데이트가 이루었지만 취약점 보안조치 내용은 공개되지 않았다”고 전했다.

좀더 자세한 사항은 인터넷침해대응센터 또는 아래 링크를 참고하면 된다.

[출처]

1.http://thehackernews.com/2014/04/feedly-android-app-javascript-injection.html

2.http://securityaffairs.co/wordpress/24209/hacking/feedly-javascript-vulnerable.html

3.http://www.techienews.co.uk/9710092/feedly-android-app-vulnerable-javascript-injection/

[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)