왓츠앱의 ‘클릭 투 챗’...전화번호 없어도 왓츠앱 채팅 가능케 해주는 기능
하지만 전화번호가 URL의 문자열 형태로 고스란히 노출돼...페이스북은 “문제 아냐”
[보안뉴스 문가용 기자] 인기 메신저 왓츠앱(WhatsApp)의 ‘클릭 투 챗(Click to Chat)’에서 이상한 점이 발견됐다. 이 기능 때문에 사용자들의 전화번호가 노출될 수 있다는 사실이 알려진 것이다. 바로 “구글 검색을 통해 전화번호가 노출된다”는 것이 문제의 핵심이다. 하지만 페이스북 측은 큰일이 아니며, 사용자가 공개하기로 선택했을 경우에만 검색이 된다고 해명했다.
[이미지 = utoimage]
이 문제를 제일 먼저 발견한 건 버그바운티 사냥꾼인 아툴 제이야람(Athul Jayaram)으로, 그는 이것이 “전화번호 유출을 야기하는 프라이버시 침해 문제”라고 묘사한다. ‘클릭 투 챗’은 웹사이트 방문자들이 손쉽게 왓츠앱 채팅 세션을 시작할 수 있도록 하는 기능이다. 서드파티 서비스를 통해 생성되는 큐알코드를 사이트 운영자의 왓츠앱 모바일 전화번호에 연결시키는 것을 기본으로 하고 있다. 때문에 방문자가 번호를 직접 입력할 필요가 없다. 이 기능을 사용한 방문자는 왓츠앱 연결이 이뤄진 후에 사이트 운영자의 전화번호에 접근할 수 있게 된다.
“그런데 문제는 이 과정에서 오고가는 전화번호 정보가 구글 검색을 통해 노출될 수 있다는 겁니다. 클릭 투 챗의 메타데이터를 검색 엔진이 인덱싱 하기 때문이죠. 전화번호들은 URL 문자열 형태로 노출됩니다.와 같은 형식으로 말이죠. 결국 왓츠앱 사용자의 전화번호가 평문으로 노출되는 겁니다.” wa.me 도메인은 왓츠앱이 소유하고 관리하는 도메인이다.
제이야람은 “특수하게 조작한 검색 문자열을 사용할 경우 전화번호를 추출하는 게 간단히 해결된다”며 “직접 구글 검색을 실시했을 때 30만 개의 전화번호를 취득할 수 있었다”고 지적했다. 그러면서 그는 “분명한 보안 오류이자 문제점”이라고 주장했다. “공격자가 문자를 보내거나 전화를 걸어서 추가 공격을 할 수도 있고, 전화번호를 스팸이나 피싱 공격을 주로 하는 자들에게 팔 수도 있습니다.”
다만 왓츠앱이 전화번호를 사용자 ID로 채택하는 방식을 취하고 있기 때문에 사용자 ID나 이메일이 전화번호와 연결되어 노출되고 있지는 않다. “하지만 전화번호를 취득하고 나서, 이 번호를 구글에 다시 검색해 보니 사용자의 프로파일 사진을 열람할 수 있었습니다. 네, 사용자들이 왓츠앱 프로파일에 설정한 것이죠. 이 그림을 가지고 검색을 하면 사용자 신원과 관련된 더 많은 정보가 나올 수도 있고요.”
그런 식으로 추적을 하다가 주소가 나올 경우, 피싱 공격자들에게는 큰 힘이 된다고 제이야람은 설명한다. “대부분 사람들은 여러 소셜 미디어에 비슷한 프로파일을 저장하죠. 왓츠앱 이미지가 하나 나오는 것만으로도 추적이 가능한 이유입니다. 피싱 공격자들에게 이런 식의 프로파일링 조합은 어려운 일이 아닙니다.”
하지만 페이스북 측은 ‘클릭 투 챗’에 대하여 “전화번호를 저장해두지 않은 사람과도 채팅을 할 수 있게 해주는 편리한 기능”이라고 설명한다. 그러면서 “많은 고객들이 이 편리한 기능을 통해 자신들의 고객들을 만나고 있다”고 주장했다. 제이야람은 “그 편리성을 누리는 고객들 대부분 자신의 전화번호가 평문으로 저장되고, 인터넷 검색을 통해 노출될 수 있다는 사실을 모르기 때문”이라고 반박한다. 또한 자신이 직접 주변 왓츠앱 사용자들에게 ‘클릭 투 챗’의 전화번호 노출 현상을 이야기 했을 때 “편리하니까 괜찮다고 말한 사람은 하나도 없었다”고 말한다.
이처럼 한쪽에서는 문제라고 하고 한쪽에서는 기능이라고 하니, 이 사안이 버그바운티로서 접수되었을 리가 없다. 제이야람이 이 문제를 발견한 5월 23일, 페이스북에 연락을 취해 버그바운티를 신청했다고 한다. 하지만 페이스북은 이를 거절했다. 해당 내용은 ‘데이터 남용’에 관한 것인데, 이런 항목의 버그바운티가 설정된 건 왓츠앱이 아니라 페이스북만이라는 것이 그 이유였다.
3줄 요약
1. 왓츠앱 메신저의 ‘클릭 투 챗’ 기능, 사용자 전화번호를 노출시킴.
2. 전화번호가 평문 상태로 검색되는데, 페이스북은 의도한 기능이라고 말함.
3. 그래서 이 문제를 발견한 전문가는 버그바운티 상금 대상자가 되지 못함.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
하지만 전화번호가 URL의 문자열 형태로 고스란히 노출돼...페이스북은 “문제 아냐”
[보안뉴스 문가용 기자] 인기 메신저 왓츠앱(WhatsApp)의 ‘클릭 투 챗(Click to Chat)’에서 이상한 점이 발견됐다. 이 기능 때문에 사용자들의 전화번호가 노출될 수 있다는 사실이 알려진 것이다. 바로 “구글 검색을 통해 전화번호가 노출된다”는 것이 문제의 핵심이다. 하지만 페이스북 측은 큰일이 아니며, 사용자가 공개하기로 선택했을 경우에만 검색이 된다고 해명했다.
[이미지 = utoimage]
이 문제를 제일 먼저 발견한 건 버그바운티 사냥꾼인 아툴 제이야람(Athul Jayaram)으로, 그는 이것이 “전화번호 유출을 야기하는 프라이버시 침해 문제”라고 묘사한다. ‘클릭 투 챗’은 웹사이트 방문자들이 손쉽게 왓츠앱 채팅 세션을 시작할 수 있도록 하는 기능이다. 서드파티 서비스를 통해 생성되는 큐알코드를 사이트 운영자의 왓츠앱 모바일 전화번호에 연결시키는 것을 기본으로 하고 있다. 때문에 방문자가 번호를 직접 입력할 필요가 없다. 이 기능을 사용한 방문자는 왓츠앱 연결이 이뤄진 후에 사이트 운영자의 전화번호에 접근할 수 있게 된다.
“그런데 문제는 이 과정에서 오고가는 전화번호 정보가 구글 검색을 통해 노출될 수 있다는 겁니다. 클릭 투 챗의 메타데이터를 검색 엔진이 인덱싱 하기 때문이죠. 전화번호들은 URL 문자열 형태로 노출됩니다.
제이야람은 “특수하게 조작한 검색 문자열을 사용할 경우 전화번호를 추출하는 게 간단히 해결된다”며 “직접 구글 검색을 실시했을 때 30만 개의 전화번호를 취득할 수 있었다”고 지적했다. 그러면서 그는 “분명한 보안 오류이자 문제점”이라고 주장했다. “공격자가 문자를 보내거나 전화를 걸어서 추가 공격을 할 수도 있고, 전화번호를 스팸이나 피싱 공격을 주로 하는 자들에게 팔 수도 있습니다.”
다만 왓츠앱이 전화번호를 사용자 ID로 채택하는 방식을 취하고 있기 때문에 사용자 ID나 이메일이 전화번호와 연결되어 노출되고 있지는 않다. “하지만 전화번호를 취득하고 나서, 이 번호를 구글에 다시 검색해 보니 사용자의 프로파일 사진을 열람할 수 있었습니다. 네, 사용자들이 왓츠앱 프로파일에 설정한 것이죠. 이 그림을 가지고 검색을 하면 사용자 신원과 관련된 더 많은 정보가 나올 수도 있고요.”
그런 식으로 추적을 하다가 주소가 나올 경우, 피싱 공격자들에게는 큰 힘이 된다고 제이야람은 설명한다. “대부분 사람들은 여러 소셜 미디어에 비슷한 프로파일을 저장하죠. 왓츠앱 이미지가 하나 나오는 것만으로도 추적이 가능한 이유입니다. 피싱 공격자들에게 이런 식의 프로파일링 조합은 어려운 일이 아닙니다.”
하지만 페이스북 측은 ‘클릭 투 챗’에 대하여 “전화번호를 저장해두지 않은 사람과도 채팅을 할 수 있게 해주는 편리한 기능”이라고 설명한다. 그러면서 “많은 고객들이 이 편리한 기능을 통해 자신들의 고객들을 만나고 있다”고 주장했다. 제이야람은 “그 편리성을 누리는 고객들 대부분 자신의 전화번호가 평문으로 저장되고, 인터넷 검색을 통해 노출될 수 있다는 사실을 모르기 때문”이라고 반박한다. 또한 자신이 직접 주변 왓츠앱 사용자들에게 ‘클릭 투 챗’의 전화번호 노출 현상을 이야기 했을 때 “편리하니까 괜찮다고 말한 사람은 하나도 없었다”고 말한다.
이처럼 한쪽에서는 문제라고 하고 한쪽에서는 기능이라고 하니, 이 사안이 버그바운티로서 접수되었을 리가 없다. 제이야람이 이 문제를 발견한 5월 23일, 페이스북에 연락을 취해 버그바운티를 신청했다고 한다. 하지만 페이스북은 이를 거절했다. 해당 내용은 ‘데이터 남용’에 관한 것인데, 이런 항목의 버그바운티가 설정된 건 왓츠앱이 아니라 페이스북만이라는 것이 그 이유였다.
3줄 요약
1. 왓츠앱 메신저의 ‘클릭 투 챗’ 기능, 사용자 전화번호를 노출시킴.
2. 전화번호가 평문 상태로 검색되는데, 페이스북은 의도한 기능이라고 말함.
3. 그래서 이 문제를 발견한 전문가는 버그바운티 상금 대상자가 되지 못함.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
(1).jpg){kind=spacer}
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
