안드로이드의 동일 출처 정책(SOP) 취약점으로 해커가 당신의 페이스북 계정을 탈취할 수 있습니다

목차

• 안드로이드 동일 출처 정책(SOP) 취약점이 페이스북 계정을 탈취하는 데 사용되고 있습니다
• 버그

안드로이드 동일 출처 정책(SOP) 취약점이 페이스북 계정을 탈취하는 데 사용되고 있습니다

파키스탄 연구원 라파이 발로치(Rafay Baloch)가 발견한 레거시 안드로이드 동일 출처 정책(SOP) 버그가 트렌드마이크로 연구소(TrendMicro Labs)에서 발표한 새로운 연구에 따르면 훨씬 더 널리 사용되고 있습니다. 트렌드 마이크로 연구원 사이먼 황(Simon Huang)은 안드로이드 OS 4.4 이하의 웹 브라우저에서 이 결함을 악용한 공격의 많은 사례를 발견했다고 말합니다. 메타스플로잇 코드가 공개되어 있으며 많은 안드로이드 제조업체가 이 버그를 패치하지 않았기 때문입니다.

버그

라파이 발로치가 발견한 이 버그는 구형 안드로이드 스마트폰에서 보편적인 교차 스크립팅 취약점을 허용합니다. 이 취약점은 웹뷰(WebView) 구성 요소에 영향을 미치며, 주어진 HTML 객체의 ‘data’ 속성을 자바스크립트 URL 스킴으로 교체할 때 발생합니다. 공격자는 UXSS 결함을 활용하여 취약한 브라우저 창에서 쿠키 데이터와 페이지 내용을 긁어낼 수 있습니다. 이 보안 구멍은 웹뷰를 사용하는 모든 버전의 안드로이드 오픈 소스 플랫폼(AOSP) 브라우저에서 악용될 수 있습니다.

Rapid7은 이 결함에 대한 메타스플로잇 코드를 공개하였으며(위에 링크 제공), 공격자들이 피해자에게 클라우드 스토리지 계정에 저장된 악성 자바스크립트 파일을 제공하는 데 공개적으로 사용되고 있습니다. 이는 특정 페이스북 페이지로 대상을 유도하여 악성 위치로 이어지게 함으로써 이루어집니다. 트렌드 연구원 황은 이 페이지가 페이스북 URL을 내부 프레임에서 로드하려고 시도하는 난독화된 자바스크립트 코드를 포함하고 있다고 말합니다.

그러나 피해자는 공격자가 HTML에서 설정한 div 태그에 따라 빈 페이지만 로드되는 것을 보며, 내부 프레임은 1픽셀로 표시됩니다.

황은 악성 코드가 설치된 상태에서 공격자가 피해자의 페이스북 계정으로 거의 모든 작업을 수행할 수 있다고 말합니다. 자바스크립트 코드는 피해자의 페이스북 계정으로 다음과 같은 활동을 수행할 수 있습니다:

• 친구 추가
• 페이스북 페이지 좋아요 및 팔로우
• 구독 수정
• 페이스북 앱에 사용자의 공개 프로필, 친구 목록, 생일 정보, 좋아요 및 친구의 좋아요에 접근할 수 있도록 권한 부여
• 피해자의 액세스 토큰을 훔쳐서 https://{BLOCKED}martforchristmas.website/walmart/j/index.php?cid=544fba6ac6988&access_token= $token;에 업로드
• https://whos.{BLOCKED}ung.us/pingjs/의 합법적인 서비스를 사용하여 분석 데이터(예: 피해자의 위치, HTTP 리퍼러 등) 수집
• 위 사이트의 코드 외에도 트렌드는 https://www.{BLOCKED}php.com/x/toplu.php에서 유사한 공격을 발견했습니다. 트렌드 연구원들은 두 코드가 여러 함수 이름과 페이스북 앱의 client_id를 공유하기 때문에 동일한 작성자가 만든 것이라고 믿고 있습니다.

트렌드 마이크로 연구원들은 이 악성 코드에 관련된 client_id가 “2254487659”라고 밝혔습니다. 이는 블랙베리(BlackBerry)에서 유지 관리하는 공식 앱입니다.

트렌드 마이크로는 그들의 발견에 대해 블랙베리에 연락했습니다. 그들은 블랙베리에게 공격자들이 블랙베리 브랜드의 신뢰를 이용하고 있으며, 악성 코드는 사용자의 액세스 토큰을 훔치려고 시도하고 있다고 알렸습니다. 이 토큰은 페이스북 API에 요청을 하거나 피해자를 대신하여 페이스북에 콘텐츠를 게시하는 데 사용될 수 있습니다. 블랙베리는 트렌드가 그들에게 연락한 후 다음과 같은 성명을 발표했습니다:

“안드로이드 SOP 취약점을 사용하는 모바일 악성 코드는 모바일 장치 플랫폼에 관계없이 페이스북 사용자를 대상으로 설계되었습니다. 그러나 이는 우리의 페이스북 웹 앱을 사용하여 블랙베리 브랜드의 신뢰를 이용하려고 시도합니다. 블랙베리는 트렌드 마이크로 및 페이스북과 협력하여 이 공격을 탐지하고 완화하기 위해 지속적으로 노력하고 있습니다. 이 문제는 블랙베리의 하드웨어, 소프트웨어 또는 네트워크에 대한 취약점의 결과가 아님을 유의하시기 바랍니다.”

현재 트렌드 마이크로, 페이스북 및 블랙베리는 공격을 탐지하고 새로운 사용자에 대한 공격을 방지하기 위해 협력하고 있습니다.

안드로이드 SOP 버그는 2014년 9월부터 존재해 왔으며, 안드로이드 4.4 킷캣까지의 모든 안드로이드 장치가 이 결함에 취약합니다. 사이버 범죄자들이 이 버그를 악용하고 불법 활동을 수행할 수 있는 구형 안드로이드 OS를 실행하는 수백만 대의 안드로이드 스마트폰이 있습니다. 대부분의 저가형 스마트폰은 구형 안드로이드 버전을 실행하고 있어 사이버 범죄자들이 작업을 수행하기가 훨씬 쉬워집니다. 안드로이드 스마트폰 소유자라면 가능한 한 빨리 스마트폰을 최신 안드로이드 5.1 롤리팝으로 업그레이드하십시오. 여전히 구식 안드로이드 버전을 실행하는 스마트폰을 사용하고 있다면, 지금이 그것을 폐기할 때입니다.