페이스북만 파는 전문가, 작년에만 세 가지 취약점 발견

입력 : 2018-03-14 15:06

친구 목록 및 계정 정보 일부 노출시키는 오류 발견
오큘러스 통해 계정 탈취도 가능...페이스북은 매번 ‘즉시 대응’

[보안뉴스 문가용 기자] 한 보안 전문가가 지난 해 페이스북에 여러 차례 취약점을 제보한 것으로 나타났다. 그냥 자잘한 취약점이 아니라 친구 목록과 지불카드 정보가 노출될 수 있는 심각한 취약점이었다고 한다. 페이스북은 이러한 제보가 들어올 때마다 문제를 거의 즉시 해결했다.


이 인물은 요십 프란지코빅(Josip Franjkovic)이라는 웹 보안 컨설턴트로 안드로이드용 페이스북 애플리케이션을 분석하던 와중에 이와 같은 오류들을 발견했다고 한다. 처음 발견한 취약점을 통해 그는 친구 목록 정보를 취득하는 데에 성공했다. “물론 페이스북의 친구 목록은 공개된 정보죠. 하지만 프라이버시 세팅을 조정해 열람을 막을 수 있습니다. 제가 발견한 취약점은 옵션을 아무리 조정해도 친구 목록을 볼 수 있게 해주었습니다.”

그는 설명을 이어갔다. “그래프QL(GraphQL)은 오픈소스 데이터 쿼리 언어로 페이스북이 직접 모바일 앱 개발용으로 개발한 겁니다. 그래프QL 쿼리들은 페이스북의 애플리케이션들에만 사용될 수 있죠. 화이트리스트된 쿼리 ID들만 허용하고, 이러한 ID를 활용하려면 접근 토큰이 필요합니다.”

하지만 프란지코빅은 자신도 이러한 클라이언트 토큰을 사용할 수 있다는 걸 발견했다. 즉 화이트리스트를 우회할 수 있는 방법을 발견해낸 것이다. “doc_id라는 매개변수를 query_id 대신에 전송하면 화이트리스트를 우회할 수 있게 되더라고요.”

그런 후에 프란지코빅은 그래프QL 쿼리들을 전송하기 시작했다. 대부분 이미 공개된 데이터를 돌려주기 시작했는데, CSPlaygroundGraphQLFriendsQuery라는 쿼리 만큼은 비공개된 친구 목록 값도 전달했다.

프란지코빅이 찾은 두 번째 취약점 역시 그래프QL과 관련이 있는 것이다. 역시나 안드로이드용 페이스북 앱을 분석하다가 발견했다. “지불카드 정보 일부를 탈취할 수 있게 해주는 취약점입니다. 표적이 된 사용자의 ID와 접근 토큰이 포함된 쿼리를 전송함으로서 익스플로잇이 가능하더군요.”

이 취약점의 경우 ‘안전하지 않은 직접 객체 참조(insecure direct object reference)’라고 분류가 가능하다고 한다. “지불카드의 첫 여섯 자리 숫자들과 마지막 네 자리 숫자들을 취득하는 게 가능하더군요. 또한 카드 만료일과 종류, 사용자의 이름, 국가 정보들도 찾아내는 데 성공했습니다.”

작년 10월 6일 프란지코빅은 첫 번째 취약점을 페이스북에 알렸다. 페이스북은 10월 중순 전에 패치를 완료했다. 지불카드 취약점의 경우는 2018년 2월에 알렸고, 패치는 4시간 13분 만에 완료됐다. 이 두 가지 보고로 프란지코빅은 버그바운티 상금을 얻었는데, 그 금액은 아무도 공개하지 않고 있다.

프란지코빅은 세 번째 취약점 역시 발견하는 데 성공했다고 올해 1월 발표했다. 이는 오큘러스와 관련이 있는 것인데, 결과적으로 계정 탈취에 성공할 수 있게 해준다고 한다. “특정 오큘러스 앱에 소셜 미디어 기능이 있는데, 여기에 조작된 그래프QL 요청을 사용하면 누구나 사용자의 계정에 접속할 수 있게 됩니다.”

이 취약점은 패치하는 데 시간이 좀 더 걸렸다. “10월 24일에 페이스북에 알렸고, 완전한 패치가 나온 건 10월 30일이었습니다.” 이 경우에도 버그바운티 포상금이 주어졌지만 프란지코빅은 금액을 공개하지 않고 있다.

한편 페이스북은 2017년 한 해 동안 총 88만 달러를 버그바운티 상금으로 지출했다고 발표한 바 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  청년 목돈마련 돕는 홈페이지 사칭한 피싱 사...

• 2

  근로복지공단 고양지사 퇴사 직원, 내부 일탈...

• 3

  SW 공급망 보안 가이드라인 1.0 발표.....

• 4

  KB증권, 당사 사칭 카카오톡 공모주 청약 ...

• 5

  2024년 3월 악성코드 공격 동향 분석해보...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 3

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 4

  [글로벌 인터뷰] OT를 넘어 확장된 CPS...

• 5

  제로트러스트 도입·확산 시범사업, 어떻게 진...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...