Home > 전체기사

페이스북 왓츠앱에서 사용자 염탐하게 해 주는 취약점 발견돼

  |  입력 : 2020-11-23 20:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
구글 프로젝트 제로 팀이 발견하고 제보한 취약점…피해자 몰래 염탐 가능
페이스북은 이 취약점 하나에 6만 달러의 상금 제공…단일 취약점 역대 최고


[보안뉴스 문가용 기자] 페이스북이 자사 메신저 앱인 왓츠앱에서 발견된 위험한 취약점을 패치했다. 이 취약점은 안드로이드 버전에서 발견된 것으로, 성공적으로 익스플로잇 할 경우 피해자 몰래 염탐이 가능하게 되며, 특수한 경우 주변 환경에 대한 정보도 취득할 수 있게 된다.

[이미지 = utoimage]


구글 프로젝트 제로 팀의 보안 전문가인 나탈리 실바노비치(Natalie Silvanovich)에 의하면 이 취약점은 앱 내부에 WebRTC 요소를 구축하는 데에서 발생한다고 한다. WebRTC는 음성 통화와 영상 통화를 가능하게 해 주는 프로토콜로, 수신자와 송신자 사이에 간략한 메시지들을 연속적으로 주고 받을 때 활용된다.

일반적인 통화 상황에서 전화를 거는 사람의 음성 정보는, 수화기 반대편에서 받는 사람이 실제로 통화 요청에 응할 때까지 전송되지 않는다. 앱 내의 setLocalDescription가 신호를 받는 사람이 ‘통화 허락’과 관련된 버튼을 누를 때까지 발동되지 않는다는 뜻이 된다. 실바노비치는 “그런데 한 가지 예외가 있다”고 설명한다.

“호 설정(call set-up)에 사용되지 않는 유형의 메시지가 존재합니다. SdpUpdate라는 것으로, 상대가 전화를 받지 않아도 setLocalDescription이 즉각적으로 발동되도록 합니다. 이런 종류의 메시지가 수신자 장비에 전달될 때, 신호가 울리는 와중에도 음성 정보가 전송되기 시작합니다. 이를 공격자가 악용하면 수신자의 주변 환경 상황을 관찰할 수 있게 됩니다.” 실바노비치의 설명이다.

실바노비치는 보고서를 통해 취약점 익스플로잇 방식을 단계별로 상세히 설명했다. 공격을 처음부터 끝까지 진행하는 데에 걸린 시간은 수분에 불과했다. 다만 이번 설명은 “공격자가 피해자와 페이스북 친구 사이라는 것을 전제로 하고 있”었다. 친구가 아닐 경우, 공격은 좀 더 복잡해지고 길어질 수 있다.

실바노비치는 10월 6일 이 버그를 페이스북 측에 알렸다. 페이스북은 이를 접수하고 11월 19일 패치를 발표했다. 이를 통해 실바노비치는 6만 달러의 상금을 페이스북으로부터 받았다. 참고로 페이스북은 올해 버그바운티 실시 10주년을 맞이하고 있으며, 자축 게시글을 자사 블로그에 올린 바 있다.

페이스북의 보안 엔지니어링 관리자인 댄 거핑켈(Dan Gurfinkel)은 해당 블로그 글을 통해 실바노비치가 제보한 취약점을 언급하며 “서버 사이드의 취약점을 수정한 후 추가 보호 장치들을 해당 프로토콜과 관련이 있는 모든 앱들에 적용했다”고 밝혔다. 6만 달러의 상금은, 단일 취약점에 대한 보상 중 역대 세 번째 규모라고도 썼다. 그만큼 심각한 취약점이었다는 것이다.

페이스북은 최근 자사 버그바운티 프로그램에 독특한 보상 제도를 추가했다. 제도의 이름은 해커 플러스(Hacker Plus)로, 특정 조건을 달성할 경우 공지된 상금 외의 보너스를 수여하는 것을 골자로 한다. 상금도 추가되며, 제보자의 이름으로 기부금이 제보자가 지정한 단체로 전달되기도 하며, 페이스북이 여는 공식 행사에 무료로 입장할 수 있게 된다. 실바노비치의 경우 보너스 부분을 기브웰(GiveWell)이라는 비영리 단체에 전달했다고 트위터를 통해 밝혔다.

최근 실바노비치를 필두로 한 구글 프로젝트 제로 팀은 인기 높은 앱들에서 심각한 취약점들을 계속해서 찾아내고 있다. 구글에서 개발한 크롬 브라우저에서 제로데이 취약점들을 여러 개 발견한 것부터 시작해 애플의 모바일 장비들과 마이크로소프트 윈도 시스템에서도 심각한 취약점들을 찾아내 기업 측에 알리거나 공개했다.

3줄 요약
1. 구글 프로젝트 제로 팀의 연구원, 페이스북 왓츠앱에서 취약점 발견.
2. 특수한 통화 메시지는 수신자의 허가 없이 전송 시작할 수 있다는 것이 문제.
3. 공격자가 피해자를 몰래 염탐하는 것을 가능하게 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협