페이스북, 민감한 정보 유출시키는 왓츠앱 오류 패치해

입력 : 2019-10-07 12:24

한 보안 전문가가 발견한 CVE-2019-11932…왓츠앱 2.19.244 버전 통해 패치
원격 코드 실행함으로써 권한 상승하고, 민감한 데이터에 접근 가능케 해주는 버그

[보안뉴스 문가용 기자] 페이스북이 최근 안드로이드용 왓츠앱(WhatsApp)에서 발견된 취약점을 패치했다. 이 취약점을 통해 일부 사이버 공격자들이 임의의 코드를 실행함으로써 사용자들의 민감한 데이터에 접근한 것으로 의심된다.


이 취약점은 CVE-2019-11932이며, 온라인 상에서 어웨이큰드(Awakened)라는 이름으로 활동하는 익명의 보안 전문가가 발견했다. 어웨이큰드에 따르면 CVE-2019-11932가 ‘더블 프리(double free) 버그’의 일종이라고 묘사했다.

페이스북은 어웨이큰드의 오류 보고서를 접수하고 왓츠앱 2.19.244 버전을 발표해 문제를 해결했다. 그러면서 “안드로이드 8.1과 9.0 버전을 기반으로 한 장비에 설치된 왓츠앱에서 원격 코드 실행을 가능케 하는 취약점이 발견됐다”고 발표했다. 어웨이큰드에 따르면 그 전 안드로이드 버전에서 공격을 실시할 경우 디도스 공격만 가능하다고 한다.

정확히 취약점이 발견된 곳은 libpl_droidsonroids_gif.so라는 오픈소스 라이브러리다. 왓츠앱은 이 라이브러리를 사용해 GIF 파일들에 대한 ‘미리보기’ 기능을 수행한다. 이번에 패치가 나오면서 이 라이브러리에 있는 취약점도 해결이 된 상태라고 한다.

이 취약점을 익스플로잇하는 데 성공할 경우 악성 행위자들은 침투에 성공한 안드로이드 장비에서 권한을 상승시킬 수 있고, 장비 내 저장된 각종 파일들에 접근할 수 있게 된다. 당연히 왓츠앱 데이터베이스에 저장된 메시지들도 여기에 포함된다. 이런 상황을 활용해 공격자들은 왓츠앱 컨텍스트에서 원격 셸을 생성할 수도 있다.

익스플로잇 하려면 공격자가 악성 GIF 파일을 만들어야 한다. 공격 표적이 된 사용자가 악성 GIF 파일을 열면 취약점이 발동되도록 할 수 있다. 그러나 이 과정의 난이도가 낮은 것은 아니라고 어웨이큰드는 설명한다. “공격을 성립시키려면 공격자 자신이 피해자의 연락처 정보에 저장되어 있어야 합니다. 그래야 조작한 GIF 파일이 효력을 발휘할 수 있습니다.”

게다가 전제 조건이 하나 더 있다. “공격의 표적이 되는 장비에 CVE-2019-11932 외에 다른 취약점이나 악성 앱이 존재해야 합니다. 그래야 그걸 통해서 뚫고 들어가서 CVE-2019-11932를 익스플로잇 할 수 있습니다.”

보안 업체 시놉시스(Synopsys)의 수석 전략가인 조나단 누드센(Jonathan Knudsen)은 “악의적인 입력 값을 가지고 소프트웨어를 얼마나 치명적으로 망가트릴 수 있는지가 다시 한 번 드러났다”고 평가한다. “퍼징(fuzzing)을 좀 더 꼼꼼하게 실시했으면 파악했을 가능성이 있는 취약점입니다. 퍼징 테스트가 중요하면서도 자주 간과되는데, 이번 왓츠앱 패치를 통해 개발사들이 다시 한 번 퍼징에 대해 생각해봤으면 합니다.”

그러면서 누드센은 “다행이라면, 이번에 발견된 취약점 그 자체만을 가지고 장비에 침투해 완전 장악할 수 있는 건 아니라는 것”이라고 설명을 이어갔다. “먼저 다른 취약점 등을 활용해 침투한 후 장비의 메모리 매핑 상태를 파악한 후에야 GIF 파일을 만들어낼 수 있습니다. 광범위하게 활용될 만한 취약점은 아니라는 겁니다.”

한편 어웨이큰드는 자신이 발견한 취약점의 기술적 세부 사항과 개념증명 코드를 자신의 블로그(https://awakened1712.github.io/hacking/hacking-whatsapp-gif-rce/)를 통해 공개했다.

3줄 요약
1. 왓츠앱의 라이브러리에서 위험한 취약점 발견됨.
2. 특수하게 조작된 GIF 파일 보내면, 장비에 저장된 민감한 정보에 접근할 수 있음.
3. 퍼징 테스트 좀 더 꼼꼼하게 했으면 발견 가능했던 문제.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 2

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 3

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 4

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 5

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...