유명 소셜미디어의 안드로이드 앱에서 위험한 취약점이 나왔다. 다행히 빠르게 패치됐고, 따라서 사용자들이 업데이트만 서두르면 위험할 것이 크게 없다. 보안을 빈틈없이 한다는 이미지를 틱톡이 한층 정도 쌓았다.
[보안뉴스 문가용 기자] 유명 소셜미디어인 틱톡(TikTok)의 안드로이드 버전 앱에서 고위험군 취약점이 발견됐다. 이 앱은 전 세계적으로 구글 공식 플레이스토어에서만 15억 회 이상 다운로드 된 기록을 가지고 있어 파급력이 클 수 있다. 이 취약점을 익스플로잇 하면 공격자는 사용자의 계정을 가로챌 수 있게 된다. MS가 이를 제일 처음 발견해 틱톡에 알렸고, 틱톡은 패치를 완료한 상황이다.
[이미지 = utoimage]
문제의 취약점은 CVE-2022-28799이다. 이를 통해 성공적으로 피해자 계정에 접근한 공격자는 계정 프로파일을 고치고, 비밀 정보(비공개 영상이나 사용자 간 채팅 기록 등)를 열람할 수 있게 된다. 안드로이드 버전 앱 내 딥링크 하나와 관련이 있는 것인데, 좀 더 깊게 들어가 보면 이 앱의 웹뷰(WebView) 요소와 연결된 자바스크립트 인터페이스 구축 방식과 상관이 있는 문제라고 MS는 설명한다.
웹뷰는 애플리케이션들이 웹 페이지를 로딩하고 화면에 나타내도록 하는 데 사용되는 구성 요소다. 또한 addJavascriptInterface라는 API 호출 명령을 활용하여 웹 페이지 내에 있는 자바스크립트 코드가 활성화 되도록 하기도 한다. 아무 코드나 다 활성화시키는 건 아니고 특정 클래스 내 일부 메소드들만 여기에 해당된다. 아무튼 앱에서 웹 페이지를 호출하고, 그 페이지 내 자바스크립트까지 발동시키는 게 웹뷰라는 것이고, 여기서 발견된 취약점이 CVE-2022-28799라는 뜻이다.
이는 다시 말해 공격자가 이상한 웹 콘텐츠가 웹뷰를 통해 로딩이 되게 할 수 있다는 뜻이 된다. 어떤 ‘이상한’ 콘텐츠를 로딩시키느냐에 따라 데이터 유출, 데이터 변경, 임의 코드 실행 등의 공격을 할 수 있게 된다고 MS는 설명한다. “틱톡은 자바스크립트 인터페이스를 광범위하게 사용하는 구조를 가지고 있습니다. 이 때문에 웹뷰의 기능에 대한 의존도가 높은 편이죠. 그래서 웹뷰 취약점이 위험하게 작용하는 것이고요.”
개념증명용 공격과 기업 이미지
MS는 이번에 취약점을 공개하면서 개념증명용 익스플로잇도 함께 발표했다. 웹뷰를 통해 임의의 URL이 강제로 로딩되도록 한 것이다. “추가 요청 매개변수가 삽입되도록 URL을 조작했습니다. 이를 통해 다양한 기능의 자바스크립트가 활성화 되도록 하는 데 성공했습니다. 인증이 된 HTTP 요청을 처리할 수 있는 메소드라면 이런 방법을 통해 공격자가 제어할 수 있게 되고, 이는 결국 피해자의 계정 탈취로 이어질 수 있습니다.”
전 세계적으로 수억 단위의 사용자를 가진 앱에서 이런 치명적인 취약점이 나온 건 아쉬운 일이지만, 한 가지 다행이라면 틱톡 측이 MS의 제보를 접수하고 재빠르게 패치를 개발해 발표했다는 것이다. 틱톡 안드로이드 앱은 동아시아와 동남아시아 지역 국가들에서 사용되는 버전이 따로 있고, 그 외 세계 다른 지역에서 사용되는 버전이 따로 있는데, 양쪽 모두를 패치했다. MS는 2월에 제보했고, 지금까지 충분히 많은 사용자가 업데이트 하기를 기다렸다가 해당 내용을 발표한 것이다.
틱톡이 늘 이렇게 문제에 대한 빠른 해결을 지향했던 기업이냐 하면, 그렇다고 말하기 힘들다. 게다가 그 동안 프라이버시 및 보안이라는 측면에서 미흡한 면모를 여러 번 보여 오기도 했다. 정치적 문제까지 겹쳐 미국에서 퇴출 위기까지 맞았다. 그래서 이번에 빠르게 대처한 것은 틱톡이 이미지 쇄신을 하고 있다는 뜻이 아니겠냐는 분석도 나오고 있다. 2020년 버그바운티 플랫폼인 해커원(HackerOne)을 통해 공개 버그바운티를 시작하고 이어오는 것 역시 ‘우리는 안전하다’는 이미지를 심어주려는 노력으로 보이기도 한다.
지난 2월 틱톡의 글로벌 보안 책임자인 롤랜드 클루티어(Roland Cloutier)는 “틱톡은 보안과 투명성이 당연시 되는 문화를 내부적으로 구축하는 중”이라고 언론 인터뷰를 통해 발표하기도 했었다. 앞으로도 계속해서 취약점이 발견될 것인데, 지금처럼 빠른 대처의 자세를 유지할 지가 관건이다.
3줄 요약
1. 유명 소셜미디어 틱톡에서 지난 2월 고위험군 취약점 발견됨.
2. 자바스크립트와 관련된 딥링크 요소들이 여기에 연루되어 있음.
3. 틱톡의 이번 대처는 흡족할 만한 수준이었는데, 다음에도 그럴 수 있을까.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 유명 소셜미디어인 틱톡(TikTok)의 안드로이드 버전 앱에서 고위험군 취약점이 발견됐다. 이 앱은 전 세계적으로 구글 공식 플레이스토어에서만 15억 회 이상 다운로드 된 기록을 가지고 있어 파급력이 클 수 있다. 이 취약점을 익스플로잇 하면 공격자는 사용자의 계정을 가로챌 수 있게 된다. MS가 이를 제일 처음 발견해 틱톡에 알렸고, 틱톡은 패치를 완료한 상황이다.
[이미지 = utoimage]
문제의 취약점은 CVE-2022-28799이다. 이를 통해 성공적으로 피해자 계정에 접근한 공격자는 계정 프로파일을 고치고, 비밀 정보(비공개 영상이나 사용자 간 채팅 기록 등)를 열람할 수 있게 된다. 안드로이드 버전 앱 내 딥링크 하나와 관련이 있는 것인데, 좀 더 깊게 들어가 보면 이 앱의 웹뷰(WebView) 요소와 연결된 자바스크립트 인터페이스 구축 방식과 상관이 있는 문제라고 MS는 설명한다.
웹뷰는 애플리케이션들이 웹 페이지를 로딩하고 화면에 나타내도록 하는 데 사용되는 구성 요소다. 또한 addJavascriptInterface라는 API 호출 명령을 활용하여 웹 페이지 내에 있는 자바스크립트 코드가 활성화 되도록 하기도 한다. 아무 코드나 다 활성화시키는 건 아니고 특정 클래스 내 일부 메소드들만 여기에 해당된다. 아무튼 앱에서 웹 페이지를 호출하고, 그 페이지 내 자바스크립트까지 발동시키는 게 웹뷰라는 것이고, 여기서 발견된 취약점이 CVE-2022-28799라는 뜻이다.
이는 다시 말해 공격자가 이상한 웹 콘텐츠가 웹뷰를 통해 로딩이 되게 할 수 있다는 뜻이 된다. 어떤 ‘이상한’ 콘텐츠를 로딩시키느냐에 따라 데이터 유출, 데이터 변경, 임의 코드 실행 등의 공격을 할 수 있게 된다고 MS는 설명한다. “틱톡은 자바스크립트 인터페이스를 광범위하게 사용하는 구조를 가지고 있습니다. 이 때문에 웹뷰의 기능에 대한 의존도가 높은 편이죠. 그래서 웹뷰 취약점이 위험하게 작용하는 것이고요.”
개념증명용 공격과 기업 이미지
MS는 이번에 취약점을 공개하면서 개념증명용 익스플로잇도 함께 발표했다. 웹뷰를 통해 임의의 URL이 강제로 로딩되도록 한 것이다. “추가 요청 매개변수가 삽입되도록 URL을 조작했습니다. 이를 통해 다양한 기능의 자바스크립트가 활성화 되도록 하는 데 성공했습니다. 인증이 된 HTTP 요청을 처리할 수 있는 메소드라면 이런 방법을 통해 공격자가 제어할 수 있게 되고, 이는 결국 피해자의 계정 탈취로 이어질 수 있습니다.”
전 세계적으로 수억 단위의 사용자를 가진 앱에서 이런 치명적인 취약점이 나온 건 아쉬운 일이지만, 한 가지 다행이라면 틱톡 측이 MS의 제보를 접수하고 재빠르게 패치를 개발해 발표했다는 것이다. 틱톡 안드로이드 앱은 동아시아와 동남아시아 지역 국가들에서 사용되는 버전이 따로 있고, 그 외 세계 다른 지역에서 사용되는 버전이 따로 있는데, 양쪽 모두를 패치했다. MS는 2월에 제보했고, 지금까지 충분히 많은 사용자가 업데이트 하기를 기다렸다가 해당 내용을 발표한 것이다.
틱톡이 늘 이렇게 문제에 대한 빠른 해결을 지향했던 기업이냐 하면, 그렇다고 말하기 힘들다. 게다가 그 동안 프라이버시 및 보안이라는 측면에서 미흡한 면모를 여러 번 보여 오기도 했다. 정치적 문제까지 겹쳐 미국에서 퇴출 위기까지 맞았다. 그래서 이번에 빠르게 대처한 것은 틱톡이 이미지 쇄신을 하고 있다는 뜻이 아니겠냐는 분석도 나오고 있다. 2020년 버그바운티 플랫폼인 해커원(HackerOne)을 통해 공개 버그바운티를 시작하고 이어오는 것 역시 ‘우리는 안전하다’는 이미지를 심어주려는 노력으로 보이기도 한다.
지난 2월 틱톡의 글로벌 보안 책임자인 롤랜드 클루티어(Roland Cloutier)는 “틱톡은 보안과 투명성이 당연시 되는 문화를 내부적으로 구축하는 중”이라고 언론 인터뷰를 통해 발표하기도 했었다. 앞으로도 계속해서 취약점이 발견될 것인데, 지금처럼 빠른 대처의 자세를 유지할 지가 관건이다.
3줄 요약
1. 유명 소셜미디어 틱톡에서 지난 2월 고위험군 취약점 발견됨.
2. 자바스크립트와 관련된 딥링크 요소들이 여기에 연루되어 있음.
3. 틱톡의 이번 대처는 흡족할 만한 수준이었는데, 다음에도 그럴 수 있을까.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
