그저 이미지 하나 보냄으로써 익스플로잇 끝...피해자 장비 통해 스파잉 시작
2월에 발견돼 6개월 전부터 패치 배포...이제는 공격자들에게 쉬운 익스플로잇
[보안뉴스 문가용 기자] 인기 SNS 플랫폼인 인스타그램에서 심각한 취약점이 발견됐다. 성공적으로 익스플로잇 되면 원격 코드 실행 공격으로 피해자의 카메라와 마이크로폰 등에 접근할 수 있다고 한다. 이에 대해 보안 업체 체크포인트(Check Point)가 공식 발표했다.
[이미지 = utoimage]
이 취약점은 CVE-2020-1895로 CVSS를 기준으로 7.8점을 받았다. 안드로이드용 앱과 iOS용 앱 모두에서 발견됐다. 제일 처음 발견되고 페이스북에 알려진 건 지난 2월의 일이다. 페이스북이 이를 접수해 패치를 배포한 건 6개월 전의 일이다. 체크포인트는 충분한 시간이 지났다고 판단하여 이번에 패치 세부 내역을 공개한다고 밝혔다.
체크포인트의 보안 연구원인 갈 엘바즈(Gal Elbaz)는 “이제 소셜미디어는 모든 해커들이 노리는 표적”이라며 “여러 가지 목적으로 해커들은 소셜미디어를 활용한다”고 밝혔다. 이 때문에 체크포인트도 인스타그램이라는 인기 SNS를 검사 및 분석한 것이라고 한다.
인스타그램은 현대의 거의 모든 소프트웨어처럼 서드파티 오픈소스 프로젝트들을 다양하게 활용하고 있다. 이번에 공개된 취약점도 모질라(Mozilla)가 구축한 프로젝트인 Mozjpeg를 활용하는 방법에서부터 발현한 것으로 밝혀졌다. 인스타그램은 이미지 디코딩을 위해 Mozjpeg을 활용하고 있다.
이 취약점을 익스플로잇 하려면 왓츠앱, 문자, 이메일 등의 메시지 관련 서비스를 활용해 피해자의 장비로 이미지를 하나 보내기만 하면 된다. 엘바즈에 의하면 “피해자가 받은 이미지를 장비에 저장하고 나서 인스타그램을 켜면 익스플로잇이 시작된다”고 한다. “그러면 공격자는 장비 내 거의 모든 자원에 접근할 수 있게 됩니다.”
여기서 말하는 자원에는 카메라, GPS 및 위치 서비스, 연락처, 저장 공간 등이 포함된다. 또한 공격자가 피해자의 인스타그램을 켜고 메시지를 읽거나 포스트를 올리고, 사진을 삭제할 수도 있다. 심지어 인스타그램 앱 자체를 삭제할 수도 있다. “익스플로잇을 위해 전송하는 이미지는 크기와 치수가 어그러져 있어야 합니다. 그러면 정수 오버플로우나 버퍼 오버플로우가 발생하고 익스플로잇이 가능하게 됩니다. 인스타그램 128.0.0.26.128 이전 버전이 이 취약점에 노출된 상태입니다.”
체크포인트의 또 다른 보안 전문가인 야니브 발마스(Yaniv Balmas)는 “인스타그램에 권한을 많이 주지 않은 사용자라면 이러한 공격으로부터 어느 정도 안전할 수 있다”고 설명을 덧붙였다. “물론 권한을 제한하면 인스타 앱의 기능을 어느 정도 읽게 될 겁니다. 사람에 따라서는 인스타그램의 정체성이 훼손된다고까지 생각할 수도 있습니다. 솔직히 권한을 얼마 주지 않고 인스타를 활용하는 사람은 거의 없을 거라고 봅니다.”
엘바즈는 이를 찾아내고 익스플로잇에 성공하기까지 수개월이 걸렸다고 밝혔다. 그러나 그건 아무런 사전정보가 없었을 때의 이야기이고, 이미 취약점 정보가 알려지기 시작한 시점에서는 익스플로잇이 간단한 일이 된다고 주장했다.
“인스타그램이라는 앱의 가장 근본적인 문제는 제대로 사용하려면 너무나 많은 권한을 가져가야 한다는 겁니다. 기능 발휘 측면에서 어쩔 수 없는 일이기도 합니다. 그런데 최근 해커들이 이렇게 권한이 많은 앱을 노리기 시작했어요. 가뜩이나 SNS가 해커들의 인기를 끌고 있는데 권한까지 높다니, 표적이 될 수밖에 없죠. 인스타 하나 익스플로잇 하면 높은 확률로 사실상 장비를 장악하게 됩니다. 기능성과 권한 설정에 대한 진지한 고민이 필요합니다.”
또한 취약점이 서드파티 요소 그 자체가 아니라, 서드파티 요소를 인스타그램이라는 플랫폼에 구축하는 방법에서부터 나타난다는 것도 주의 깊게 살펴봐야 할 부분이라고 발마스는 강조했다. “그러므로 기업들은 서드파티 요소 자체의 취약점도 잘 살펴야 하겠지만, 그것을 구축하고 통합하는 것에도 신중해야 합니다. 그 부분에 대한 지속적 감사도 필요하고요.”
3줄 요약
1. 인스타그램 내 이미지 디코더에서 취약점이 발견됨.
2. 익스플로잇 할 경우 사실상 피해자의 장비를 장악할 수 있게 됨.
3. 앱에 어느 정도의 권한이 필요한가? 서드파티 검사 어디까지 해야 할까? 여러 질문 던지는 발견.
[국제부 문가용 기자(globoan@boannews.com)]
2월에 발견돼 6개월 전부터 패치 배포...이제는 공격자들에게 쉬운 익스플로잇
[보안뉴스 문가용 기자] 인기 SNS 플랫폼인 인스타그램에서 심각한 취약점이 발견됐다. 성공적으로 익스플로잇 되면 원격 코드 실행 공격으로 피해자의 카메라와 마이크로폰 등에 접근할 수 있다고 한다. 이에 대해 보안 업체 체크포인트(Check Point)가 공식 발표했다.
[이미지 = utoimage]
이 취약점은 CVE-2020-1895로 CVSS를 기준으로 7.8점을 받았다. 안드로이드용 앱과 iOS용 앱 모두에서 발견됐다. 제일 처음 발견되고 페이스북에 알려진 건 지난 2월의 일이다. 페이스북이 이를 접수해 패치를 배포한 건 6개월 전의 일이다. 체크포인트는 충분한 시간이 지났다고 판단하여 이번에 패치 세부 내역을 공개한다고 밝혔다.
체크포인트의 보안 연구원인 갈 엘바즈(Gal Elbaz)는 “이제 소셜미디어는 모든 해커들이 노리는 표적”이라며 “여러 가지 목적으로 해커들은 소셜미디어를 활용한다”고 밝혔다. 이 때문에 체크포인트도 인스타그램이라는 인기 SNS를 검사 및 분석한 것이라고 한다.
인스타그램은 현대의 거의 모든 소프트웨어처럼 서드파티 오픈소스 프로젝트들을 다양하게 활용하고 있다. 이번에 공개된 취약점도 모질라(Mozilla)가 구축한 프로젝트인 Mozjpeg를 활용하는 방법에서부터 발현한 것으로 밝혀졌다. 인스타그램은 이미지 디코딩을 위해 Mozjpeg을 활용하고 있다.
이 취약점을 익스플로잇 하려면 왓츠앱, 문자, 이메일 등의 메시지 관련 서비스를 활용해 피해자의 장비로 이미지를 하나 보내기만 하면 된다. 엘바즈에 의하면 “피해자가 받은 이미지를 장비에 저장하고 나서 인스타그램을 켜면 익스플로잇이 시작된다”고 한다. “그러면 공격자는 장비 내 거의 모든 자원에 접근할 수 있게 됩니다.”
여기서 말하는 자원에는 카메라, GPS 및 위치 서비스, 연락처, 저장 공간 등이 포함된다. 또한 공격자가 피해자의 인스타그램을 켜고 메시지를 읽거나 포스트를 올리고, 사진을 삭제할 수도 있다. 심지어 인스타그램 앱 자체를 삭제할 수도 있다. “익스플로잇을 위해 전송하는 이미지는 크기와 치수가 어그러져 있어야 합니다. 그러면 정수 오버플로우나 버퍼 오버플로우가 발생하고 익스플로잇이 가능하게 됩니다. 인스타그램 128.0.0.26.128 이전 버전이 이 취약점에 노출된 상태입니다.”
체크포인트의 또 다른 보안 전문가인 야니브 발마스(Yaniv Balmas)는 “인스타그램에 권한을 많이 주지 않은 사용자라면 이러한 공격으로부터 어느 정도 안전할 수 있다”고 설명을 덧붙였다. “물론 권한을 제한하면 인스타 앱의 기능을 어느 정도 읽게 될 겁니다. 사람에 따라서는 인스타그램의 정체성이 훼손된다고까지 생각할 수도 있습니다. 솔직히 권한을 얼마 주지 않고 인스타를 활용하는 사람은 거의 없을 거라고 봅니다.”
엘바즈는 이를 찾아내고 익스플로잇에 성공하기까지 수개월이 걸렸다고 밝혔다. 그러나 그건 아무런 사전정보가 없었을 때의 이야기이고, 이미 취약점 정보가 알려지기 시작한 시점에서는 익스플로잇이 간단한 일이 된다고 주장했다.
“인스타그램이라는 앱의 가장 근본적인 문제는 제대로 사용하려면 너무나 많은 권한을 가져가야 한다는 겁니다. 기능 발휘 측면에서 어쩔 수 없는 일이기도 합니다. 그런데 최근 해커들이 이렇게 권한이 많은 앱을 노리기 시작했어요. 가뜩이나 SNS가 해커들의 인기를 끌고 있는데 권한까지 높다니, 표적이 될 수밖에 없죠. 인스타 하나 익스플로잇 하면 높은 확률로 사실상 장비를 장악하게 됩니다. 기능성과 권한 설정에 대한 진지한 고민이 필요합니다.”
또한 취약점이 서드파티 요소 그 자체가 아니라, 서드파티 요소를 인스타그램이라는 플랫폼에 구축하는 방법에서부터 나타난다는 것도 주의 깊게 살펴봐야 할 부분이라고 발마스는 강조했다. “그러므로 기업들은 서드파티 요소 자체의 취약점도 잘 살펴야 하겠지만, 그것을 구축하고 통합하는 것에도 신중해야 합니다. 그 부분에 대한 지속적 감사도 필요하고요.”
3줄 요약
1. 인스타그램 내 이미지 디코더에서 취약점이 발견됨.
2. 익스플로잇 할 경우 사실상 피해자의 장비를 장악할 수 있게 됨.
3. 앱에 어느 정도의 권한이 필요한가? 서드파티 검사 어디까지 해야 할까? 여러 질문 던지는 발견.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
