.gif)
SSDP에서 발견된 취약점...항시 ‘송출 가능’이라는 메시지를 광고하고 있어
이걸 받아 응답을 악의적으로 보내면 특정 장비에 웹사이트 띄우는 것 가능
[보안뉴스 문가용 기자] 모질라의 웹 브라우저인 파이어폭스에서 심각한 취약점이 발견됐다. 안드로이드용 버전이 문제인 건데, 취약점을 성공적으로 익스플로잇 할 경우 공격자는 피해자의 안드로이드 장비에서 아무 웹사이트나 열 수 있게 된다. 이 때 피해자가 특정 행동을 취할 필요도 없다. 다만 공격자와 피해자가 같은 와이파이 망에 연결되어 있기만 하면 된다.
[이미지 = utoimage]
이 문제를 발견한 건 보안 전문가 크리스 모벌리(Chris Moberly)이며, 이 피싱 공격에 대한 세부 내용을 개념증명용 익스플로잇과 함께 공개했다. “피해자가 할 일은 간단합니다. 안드로이드 장비를 가지고 있으며, 파이어폭스를 설치해 두었고, 공격자와 같은 와이파이 망에 접속해 있어야 합니다. 그걸로 끝입니다. 악성 링크를 클릭하거나 악성 문서를 열어보아야 하는 등의 행위는 필요 없습니다. 공격자가 미리 손을 쓴다거나 할 필요도 없고요. 예를 들어 커피숍에 앉아 무료 망에 연결하고 파이어폭스로 웹 서핑을 하면 공격 대상이 될 수 있다는 겁니다.”
이 오류가 발견된 곳은 안드로이드용 파이어폭스의 ‘심플 서비스 디스커버리 프로토콜(Simple Service Discovery Protocol, SSDP)’ 엔진 68.11.0 및 그 이하 버전이다. SSDP는 일종의 네트워크 프로토콜로 네트워크 서비스에 대한 정보를 광고하고 발견하는 데에 사용된다. 공격자는 이 SSDP를 속여 안드로이드 인텐트 URI(Android intent Uniform Resource Identifiers)라는 것을 발동시킨다. 인텐트란, 곧 실행되어야 할 오퍼레이션에 대한 추상적인 설명이다. 이 인텐트가 있어야 개발자들은 또 다른 앱에서 실행되어야 할 행위를 발동시킬 수 있게 된다.
모벌리가 자신의 블로그를 통해 공개한 바에 따르면 취약한 버전의 파이어폭스는 주기적으로 SSDP 메시지를 송출한다. “‘일종의 ’송출 준비 완료‘ 메시지로, 출력을 할 두 번째 화면을 계속해서 찾고 있는 것입니다. 이 메시지들은 UDP 멀티캐스트를 통해 239.255.255.250으로 전송됩니다. 그러므로 같은 네트워크에만 있다면 이 메시지를 누구나 받아볼 수 있게 되는 것이죠. 당연히 그에 대한 대응도 할 수 있고요.” 악의를 가진 공격자라면 이 ‘송출 준비 완료’ 메시지에 답신을 보낼 수 있게 되고, 파이어폭스가 있는 다른 장비로 송출 위치를 지정할 수 있게 된다.
이 때 보내는 응답을 특수하게 조작할 경우 같은 네트워크 내 안드로이드 장비(파이어폭스가 설치되어 있는)에 특정 웹사이트가 갑자기 뜨도록 유도할 수 있다. 심지어 취약한 파이어폭스가 설치만 되어 있다면 네트워크 내 모든 안드로이드 장비에 같은 공격을 퍼부을 수도 있다. “꽤나 많은 사람들을 혼란에 빠트릴 수 있을 겁니다.”
또한 이 특성을 이용해 강제로 피싱 페이지를 피해자의 장비에서 여는 것도 가능하다. 악성 .XPI 파일이 곧장 열리도록 꾸며 악성 확장 프로그램이 설치되도록 만들 수도 있다. 당연히 악성 패키지를 설치하도록 유도하는 것도 가능하다. 여기에 더해 모벌리는 웹 브라우저 런칭 외에 다른 인텐트드도 발동 가능하다는 걸 추가로 발견하기도 했다.
“다른 애플리케이션들을 호출할 수도 있습니다. 개념증명용 익스플로잇을 통해 임의 텍스트로 작성된 메일 애플리케이션을 시작하는 데에도 성공했습니다. 핸드폰을 한쪽에 치워두고 할 일을 하고 있을 뿐이었는데 어느 새 이런 일들이 벌어지고 있다고 생각한다면 꽤나 소름 끼칩니다. 다만 미리 설정된 애플리케이션 인텐트들에만 공격이 국한되어 있어 무궁무진한 가능성을 가진 공격과는 조금 다릅니다.”
모질라는 이 내용을 숙지한 후 곧바로 픽스를 발표했다. 안드로이드용 파이어폭스를 사용하고 있다면 최신 업데이트를 적용하는 것이 안전하다. 자동 업데이트가 진행되도록 설정하는 편이 좋다.
3줄 요약
1. 파이어폭스가 설치된 안드로이드 기반 장비에 아무 웹사이트 띄우는 공격 가능.
2. 파이어폭스의 프로토콜이 문제의 근원. 모질라 측 재빨리 픽스 개발해 발표.
3. 안드로이드용 파이어폭스 사용자들은 최신 버전으로 업데이트 하는 게 안전.
[국제부 문가용 기자(globoan@boannews.com)]
이걸 받아 응답을 악의적으로 보내면 특정 장비에 웹사이트 띄우는 것 가능
[보안뉴스 문가용 기자] 모질라의 웹 브라우저인 파이어폭스에서 심각한 취약점이 발견됐다. 안드로이드용 버전이 문제인 건데, 취약점을 성공적으로 익스플로잇 할 경우 공격자는 피해자의 안드로이드 장비에서 아무 웹사이트나 열 수 있게 된다. 이 때 피해자가 특정 행동을 취할 필요도 없다. 다만 공격자와 피해자가 같은 와이파이 망에 연결되어 있기만 하면 된다.
[이미지 = utoimage]
이 문제를 발견한 건 보안 전문가 크리스 모벌리(Chris Moberly)이며, 이 피싱 공격에 대한 세부 내용을 개념증명용 익스플로잇과 함께 공개했다. “피해자가 할 일은 간단합니다. 안드로이드 장비를 가지고 있으며, 파이어폭스를 설치해 두었고, 공격자와 같은 와이파이 망에 접속해 있어야 합니다. 그걸로 끝입니다. 악성 링크를 클릭하거나 악성 문서를 열어보아야 하는 등의 행위는 필요 없습니다. 공격자가 미리 손을 쓴다거나 할 필요도 없고요. 예를 들어 커피숍에 앉아 무료 망에 연결하고 파이어폭스로 웹 서핑을 하면 공격 대상이 될 수 있다는 겁니다.”
이 오류가 발견된 곳은 안드로이드용 파이어폭스의 ‘심플 서비스 디스커버리 프로토콜(Simple Service Discovery Protocol, SSDP)’ 엔진 68.11.0 및 그 이하 버전이다. SSDP는 일종의 네트워크 프로토콜로 네트워크 서비스에 대한 정보를 광고하고 발견하는 데에 사용된다. 공격자는 이 SSDP를 속여 안드로이드 인텐트 URI(Android intent Uniform Resource Identifiers)라는 것을 발동시킨다. 인텐트란, 곧 실행되어야 할 오퍼레이션에 대한 추상적인 설명이다. 이 인텐트가 있어야 개발자들은 또 다른 앱에서 실행되어야 할 행위를 발동시킬 수 있게 된다.
모벌리가 자신의 블로그를 통해 공개한 바에 따르면 취약한 버전의 파이어폭스는 주기적으로 SSDP 메시지를 송출한다. “‘일종의 ’송출 준비 완료‘ 메시지로, 출력을 할 두 번째 화면을 계속해서 찾고 있는 것입니다. 이 메시지들은 UDP 멀티캐스트를 통해 239.255.255.250으로 전송됩니다. 그러므로 같은 네트워크에만 있다면 이 메시지를 누구나 받아볼 수 있게 되는 것이죠. 당연히 그에 대한 대응도 할 수 있고요.” 악의를 가진 공격자라면 이 ‘송출 준비 완료’ 메시지에 답신을 보낼 수 있게 되고, 파이어폭스가 있는 다른 장비로 송출 위치를 지정할 수 있게 된다.
이 때 보내는 응답을 특수하게 조작할 경우 같은 네트워크 내 안드로이드 장비(파이어폭스가 설치되어 있는)에 특정 웹사이트가 갑자기 뜨도록 유도할 수 있다. 심지어 취약한 파이어폭스가 설치만 되어 있다면 네트워크 내 모든 안드로이드 장비에 같은 공격을 퍼부을 수도 있다. “꽤나 많은 사람들을 혼란에 빠트릴 수 있을 겁니다.”
또한 이 특성을 이용해 강제로 피싱 페이지를 피해자의 장비에서 여는 것도 가능하다. 악성 .XPI 파일이 곧장 열리도록 꾸며 악성 확장 프로그램이 설치되도록 만들 수도 있다. 당연히 악성 패키지를 설치하도록 유도하는 것도 가능하다. 여기에 더해 모벌리는 웹 브라우저 런칭 외에 다른 인텐트드도 발동 가능하다는 걸 추가로 발견하기도 했다.
“다른 애플리케이션들을 호출할 수도 있습니다. 개념증명용 익스플로잇을 통해 임의 텍스트로 작성된 메일 애플리케이션을 시작하는 데에도 성공했습니다. 핸드폰을 한쪽에 치워두고 할 일을 하고 있을 뿐이었는데 어느 새 이런 일들이 벌어지고 있다고 생각한다면 꽤나 소름 끼칩니다. 다만 미리 설정된 애플리케이션 인텐트들에만 공격이 국한되어 있어 무궁무진한 가능성을 가진 공격과는 조금 다릅니다.”
모질라는 이 내용을 숙지한 후 곧바로 픽스를 발표했다. 안드로이드용 파이어폭스를 사용하고 있다면 최신 업데이트를 적용하는 것이 안전하다. 자동 업데이트가 진행되도록 설정하는 편이 좋다.
3줄 요약
1. 파이어폭스가 설치된 안드로이드 기반 장비에 아무 웹사이트 띄우는 공격 가능.
2. 파이어폭스의 프로토콜이 문제의 근원. 모질라 측 재빨리 픽스 개발해 발표.
3. 안드로이드용 파이어폭스 사용자들은 최신 버전으로 업데이트 하는 게 안전.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)