세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
페이스북만 파는 전문가, 작년에만 세 가지 취약점 발견
  |  입력 : 2018-03-14 15:06
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
친구 목록 및 계정 정보 일부 노출시키는 오류 발견
오큘러스 통해 계정 탈취도 가능...페이스북은 매번 ‘즉시 대응’


[보안뉴스 문가용 기자] 한 보안 전문가가 지난 해 페이스북에 여러 차례 취약점을 제보한 것으로 나타났다. 그냥 자잘한 취약점이 아니라 친구 목록과 지불카드 정보가 노출될 수 있는 심각한 취약점이었다고 한다. 페이스북은 이러한 제보가 들어올 때마다 문제를 거의 즉시 해결했다.

[이미지 = iclickart]


이 인물은 요십 프란지코빅(Josip Franjkovic)이라는 웹 보안 컨설턴트로 안드로이드용 페이스북 애플리케이션을 분석하던 와중에 이와 같은 오류들을 발견했다고 한다. 처음 발견한 취약점을 통해 그는 친구 목록 정보를 취득하는 데에 성공했다. “물론 페이스북의 친구 목록은 공개된 정보죠. 하지만 프라이버시 세팅을 조정해 열람을 막을 수 있습니다. 제가 발견한 취약점은 옵션을 아무리 조정해도 친구 목록을 볼 수 있게 해주었습니다.”

그는 설명을 이어갔다. “그래프QL(GraphQL)은 오픈소스 데이터 쿼리 언어로 페이스북이 직접 모바일 앱 개발용으로 개발한 겁니다. 그래프QL 쿼리들은 페이스북의 애플리케이션들에만 사용될 수 있죠. 화이트리스트된 쿼리 ID들만 허용하고, 이러한 ID를 활용하려면 접근 토큰이 필요합니다.”

하지만 프란지코빅은 자신도 이러한 클라이언트 토큰을 사용할 수 있다는 걸 발견했다. 즉 화이트리스트를 우회할 수 있는 방법을 발견해낸 것이다. “doc_id라는 매개변수를 query_id 대신에 전송하면 화이트리스트를 우회할 수 있게 되더라고요.”

그런 후에 프란지코빅은 그래프QL 쿼리들을 전송하기 시작했다. 대부분 이미 공개된 데이터를 돌려주기 시작했는데, CSPlaygroundGraphQLFriendsQuery라는 쿼리 만큼은 비공개된 친구 목록 값도 전달했다.

프란지코빅이 찾은 두 번째 취약점 역시 그래프QL과 관련이 있는 것이다. 역시나 안드로이드용 페이스북 앱을 분석하다가 발견했다. “지불카드 정보 일부를 탈취할 수 있게 해주는 취약점입니다. 표적이 된 사용자의 ID와 접근 토큰이 포함된 쿼리를 전송함으로서 익스플로잇이 가능하더군요.”

이 취약점의 경우 ‘안전하지 않은 직접 객체 참조(insecure direct object reference)’라고 분류가 가능하다고 한다. “지불카드의 첫 여섯 자리 숫자들과 마지막 네 자리 숫자들을 취득하는 게 가능하더군요. 또한 카드 만료일과 종류, 사용자의 이름, 국가 정보들도 찾아내는 데 성공했습니다.”

작년 10월 6일 프란지코빅은 첫 번째 취약점을 페이스북에 알렸다. 페이스북은 10월 중순 전에 패치를 완료했다. 지불카드 취약점의 경우는 2018년 2월에 알렸고, 패치는 4시간 13분 만에 완료됐다. 이 두 가지 보고로 프란지코빅은 버그바운티 상금을 얻었는데, 그 금액은 아무도 공개하지 않고 있다.

프란지코빅은 세 번째 취약점 역시 발견하는 데 성공했다고 올해 1월 발표했다. 이는 오큘러스와 관련이 있는 것인데, 결과적으로 계정 탈취에 성공할 수 있게 해준다고 한다. “특정 오큘러스 앱에 소셜 미디어 기능이 있는데, 여기에 조작된 그래프QL 요청을 사용하면 누구나 사용자의 계정에 접속할 수 있게 됩니다.”

이 취약점은 패치하는 데 시간이 좀 더 걸렸다. “10월 24일에 페이스북에 알렸고, 완전한 패치가 나온 건 10월 30일이었습니다.” 이 경우에도 버그바운티 포상금이 주어졌지만 프란지코빅은 금액을 공개하지 않고 있다.

한편 페이스북은 2017년 한 해 동안 총 88만 달러를 버그바운티 상금으로 지출했다고 발표한 바 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)