얼마 전 왓츠앱에서 불거졌다가 해결된 취약점...다른 앱에서도 적용 가능
오픈소스 라이브러리가 문제...업데이트 됐지만 개발자들이 취약한 버전 사용해
[보안뉴스 문가용 기자] 보안 업체 트렌드 마이크로(Trend Micro)가 수많은 안드로이드 애플리케이션들에서 GIF 처리 기능과 관련된 취약점을 발견했다. 이 취약점은 최근 왓츠앱(WhatsApp)에서 발견돼 패치된 바 있는 것이라고 한다.
[이미지 = iclickart]
취약점의 관리 번호는 CVE-2019-11932로, 오픈소스 라이브러리인 libpl_droidsonroids_gif.so 내에 존재한다고 한다. 이는 android-gif-drawable이라는 패키지에 포함되어 있는 것으로, 여러 안드로이드 애플리케이션들에서 GIF 파일을 처리할 때 사용된다.
이 문제는 얼마 전 왓츠앱에서 먼저 발견됐었고, 페이스북은 2.19.244 버전을 발표하면서 패치했다. 하지만 패치되지 않은 라이브러리를 아직도 많은 애플리케이션들에서 사용하고 있다고 한다. 공격자는 악의적으로 조작된 GIF 파일을 보냄으로써 왓츠앱의 오류를 익스플로잇 할 수 있다. 왓츠앱의 이미지 미리보기 기능을 통해 익스플로잇이 자동으로 실행되는 방식이다.
다만 이 공격이 실제로 성립되려면 공격자가 피해자의 연락처에 저장되어 있어야 한다. 그렇지 않으면 악성 GIF 파일이 자동으로 다운로드 되지 않는다.
익스플로잇이 실행된 이후에 공격자는 권한을 상승시키고 피해자의 장비에 저장된 각종 파일들에 접근할 수 있게 된다. 피해자가 왓츠앱을 통해 주고받은 여러 가지 메시지도 열람할 수 있다. 원격 셸을 생성하는 것도 가능하다. 여기서 또 다른 취약점을 익스플로잇 하거나, 추가 악성 앱을 설치하는 데 성공하면 원격 코드 실행도 가능하게 된다.
문제의 핵심이었던 라이브러리인 libpl_droidsonroids_gif.so가 패치된 건 거의 두 달 전의 일이지만, 아직도 많은 개발자들이 패치되기 전의 취약한 버전을 사용하고 있다. 심지어 업데이트 된 버전이 나왔다는 걸 인지하지 못하고 있거나, 업데이트 된 버전인지 아닌지 확인하지 않고 사용하는 경우도 많다고 한다.
트렌드 마이크로에 의하면 구글 플레이에 등록된 앱들 중 3000여개에서 취약한 버전의 라이브러리가 발견됐다고 한다. “구글 플레이에서만 3천여 개의 애플리케이션들이 취약한 것으로 분석됐습니다. 서드파티 앱 스토어인 원모바일(1mobile), 나인앱스(9Apps), 91마켓(91 market), APK퓨어(APKPure), 앱토이드(Aptoide), 360마켓(360 Market), PP어시스턴트(PP Assistant), QQ마켓(QQ Market), 샤오미마켓(Xiaomi Market)에서도 사정은 비슷한 것으로 확인됐습니다.”
트렌드 마이크로의 연구원들은 문제가 있는 것으로 발견된 애플리케이션들을 무작위로 다운로드 받아 수동 설치 과정을 거쳐 추가 분석도 진행했고, 전부에서 취약한 버전의 libpl_droidsonroids_gif.so가 존재함을 확인할 수 있었다고 한다.
“실수로 취약한 애플리케이션을 설치했다면, 여러 파일들이 노출될 위험에 처하게 됩니다. 공격자가 원한다면 장비 완전 장악을 시도할지도 모릅니다. 개발자들이 libpl_droidsonroids_gif.so에 대한 업데이트를 개발해 푸시해야 합니다. 그래야 사용자들을 안전하게 보호할 수 있습니다.”
3줄 요약
1. 3천개가 넘는 안드로이드 앱에서 취약한 라이브러리 발견됨.
2. libpl_droidsonroids_gif.so가 문제의 라이브러리.
3. 패치는 2달 전에 있었으나, 개발자들이 이를 아직 적용하지 않고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
오픈소스 라이브러리가 문제...업데이트 됐지만 개발자들이 취약한 버전 사용해
[보안뉴스 문가용 기자] 보안 업체 트렌드 마이크로(Trend Micro)가 수많은 안드로이드 애플리케이션들에서 GIF 처리 기능과 관련된 취약점을 발견했다. 이 취약점은 최근 왓츠앱(WhatsApp)에서 발견돼 패치된 바 있는 것이라고 한다.
[이미지 = iclickart]
취약점의 관리 번호는 CVE-2019-11932로, 오픈소스 라이브러리인 libpl_droidsonroids_gif.so 내에 존재한다고 한다. 이는 android-gif-drawable이라는 패키지에 포함되어 있는 것으로, 여러 안드로이드 애플리케이션들에서 GIF 파일을 처리할 때 사용된다.
이 문제는 얼마 전 왓츠앱에서 먼저 발견됐었고, 페이스북은 2.19.244 버전을 발표하면서 패치했다. 하지만 패치되지 않은 라이브러리를 아직도 많은 애플리케이션들에서 사용하고 있다고 한다. 공격자는 악의적으로 조작된 GIF 파일을 보냄으로써 왓츠앱의 오류를 익스플로잇 할 수 있다. 왓츠앱의 이미지 미리보기 기능을 통해 익스플로잇이 자동으로 실행되는 방식이다.
다만 이 공격이 실제로 성립되려면 공격자가 피해자의 연락처에 저장되어 있어야 한다. 그렇지 않으면 악성 GIF 파일이 자동으로 다운로드 되지 않는다.
익스플로잇이 실행된 이후에 공격자는 권한을 상승시키고 피해자의 장비에 저장된 각종 파일들에 접근할 수 있게 된다. 피해자가 왓츠앱을 통해 주고받은 여러 가지 메시지도 열람할 수 있다. 원격 셸을 생성하는 것도 가능하다. 여기서 또 다른 취약점을 익스플로잇 하거나, 추가 악성 앱을 설치하는 데 성공하면 원격 코드 실행도 가능하게 된다.
문제의 핵심이었던 라이브러리인 libpl_droidsonroids_gif.so가 패치된 건 거의 두 달 전의 일이지만, 아직도 많은 개발자들이 패치되기 전의 취약한 버전을 사용하고 있다. 심지어 업데이트 된 버전이 나왔다는 걸 인지하지 못하고 있거나, 업데이트 된 버전인지 아닌지 확인하지 않고 사용하는 경우도 많다고 한다.
트렌드 마이크로에 의하면 구글 플레이에 등록된 앱들 중 3000여개에서 취약한 버전의 라이브러리가 발견됐다고 한다. “구글 플레이에서만 3천여 개의 애플리케이션들이 취약한 것으로 분석됐습니다. 서드파티 앱 스토어인 원모바일(1mobile), 나인앱스(9Apps), 91마켓(91 market), APK퓨어(APKPure), 앱토이드(Aptoide), 360마켓(360 Market), PP어시스턴트(PP Assistant), QQ마켓(QQ Market), 샤오미마켓(Xiaomi Market)에서도 사정은 비슷한 것으로 확인됐습니다.”
트렌드 마이크로의 연구원들은 문제가 있는 것으로 발견된 애플리케이션들을 무작위로 다운로드 받아 수동 설치 과정을 거쳐 추가 분석도 진행했고, 전부에서 취약한 버전의 libpl_droidsonroids_gif.so가 존재함을 확인할 수 있었다고 한다.
“실수로 취약한 애플리케이션을 설치했다면, 여러 파일들이 노출될 위험에 처하게 됩니다. 공격자가 원한다면 장비 완전 장악을 시도할지도 모릅니다. 개발자들이 libpl_droidsonroids_gif.so에 대한 업데이트를 개발해 푸시해야 합니다. 그래야 사용자들을 안전하게 보호할 수 있습니다.”
3줄 요약
1. 3천개가 넘는 안드로이드 앱에서 취약한 라이브러리 발견됨.
2. libpl_droidsonroids_gif.so가 문제의 라이브러리.
3. 패치는 2달 전에 있었으나, 개발자들이 이를 아직 적용하지 않고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
