안드로이드 플레이 스토어의 XFO (X-Frame-Options) 결함으로 원격 코드 실행 가능

구글의 플레이 스토어 앱의 취약점으로 안드로이드 사용자가 악성 소프트웨어에 취약해짐.

XFO, 즉 X-Frame-Options 결함은 최근 안드로이드 웹뷰(Jelly Bean) 버그와 결합되어 해커들이 구글 플레이 스토어에서 어떤 앱이든 조용히 설치할 수 있는 수단을 제공합니다.

Rapid7의 Joe Vennix는 플레이 스토어 XFO 취약점을 확인하였고, 메타스플로잇 회사는 화요일에 이 문제를 공개하며 조언서를 발표했습니다. 이와 함께 기업 보안 담당자들이 XFO 취약점에 노출된 기업 발급 스마트폰을 테스트할 수 있도록 돕는 메타스플로잇 모듈이 제공되었습니다.

Rapid7의 엔지니어링 매니저인 Tod Beardsley는 메타스플로잇 침투 테스트 도구를 개발한 회사의 일원으로서, 안드로이드 4.3(Jelly Bean) 및 이전 버전을 실행하는 많은 장치들이 UXSS [유니버설 크로스사이트 스크립팅] 노출이 있는 브라우저와 함께 출하된다고 설명했습니다.

Beardsley는 다음과 같이 말합니다,

“이 플랫폼의 사용자들은 또한 취약한 애프터마켓 브라우저를 설치했을 수 있습니다. 구글 플레이 스토어 XFO [X-Frame-Options] 결함이 완화될 때까지, 구글 계정에 자주 로그인하는 이러한 웹 애플리케이션의 사용자들은 여전히 취약할 것입니다.”

Beardsley는 원격 코드 실행이 영향을 받는 안드로이드 장치에서 두 가지 취약점을 활용하여 달성된다고 설명합니다. 메타스플로잇 모듈에 대한 더 많은 세부정보를 언급하며,

“첫째, 이 모듈은 안드로이드의 오픈 소스 기본 브라우저(AOSP 브라우저) 및 4.4(KitKat) 이전의 다른 일부 브라우저에서 존재하는 유니버설 크로스사이트 스크립팅(UXSS) 취약점을 악용합니다. 둘째, 구글 플레이 스토어의 웹 인터페이스는 일부 오류 페이지에서 X-Frame-Options: DENY 헤더를 시행하지 않으며, 따라서 스크립트 주입의 대상이 될 수 있습니다. 결과적으로, 이는 구글 플레이의 원격 설치 기능을 통해 원격 코드 실행으로 이어지며, 구글 플레이 스토어에서 사용할 수 있는 모든 애플리케이션이 사용자의 장치에 설치되고 실행될 수 있습니다.”

따라서 구글 크롬이나 모질라 파이어폭스와 같은 널리 알려진 UXSS 취약점에 영향을 받지 않는 브라우저를 사용하고 구글 플레이 스토어에 로그인하지 않는 것이 이 취약점을 완화하고 피하는 데 도움이 될 수 있습니다.