레거시 안드로이드 SOP 우회 버그로 인해 수십억 대의 스마트폰과 태블릿이 노출됨

Table Of Contents

• 레거시 안드로이드 버그로 인해 수십억 대의 스마트폰과 태블릿이 노출됨
• 범용 크로스 스크립팅 취약점
• 오픈 소스의 단점
• 개념 증명
• 포스트 메시지 호출을 사용한 개념 증명
• 취약한 코드

레거시 안드로이드 버그로 인해 수십억 대의 스마트폰과 태블릿이 노출됨

파키스탄 연구원 라파이 발로치는 안드로이드의 기본 브라우저(스톡 브라우저)에 존재하는 SOP 우회 버그를 발견했습니다. 이 버그는 오픈 소스 OS의 모든 버전에서 4.4 킷캣까지 제공됩니다. 이 전문가는 보안 회사 Rapid7과 함께 버그 공개를 조율했으며, Rapid7은 이를 위한 메타스플로잇 모듈을 출시했습니다. 기본 브라우저는 구형 안드로이드를 사용하는 약 70%의 스마트폰 사용자 장치에서 실행되며, 이로 인해 수십억 명의 사용자가 이 결함에 노출되었습니다.

범용 크로스 스크립팅 취약점

이 취약점은 WebView 구성 요소에 영향을 미치며, “주어진 HTML 객체의 ‘data’ 속성을 JavaScript URL 스킴으로 교체할 때 발생합니다.”라고 메타스플로잇 프레임워크의 기술 리드인 토드 비어즐리가 설명했습니다. 공격자는 UXSS 결함을 활용하여 취약한 브라우저 창에서 쿠키 데이터와 페이지 내용을 긁어낼 수 있습니다. Rapid7은 X-Frame-Options를 사용하는 대상 URL은 영향을 받지 않는다고 언급했습니다. 이 보안 구멍은 WebView를 사용하는 Android 오픈 소스 플랫폼(AOSP) 브라우저의 모든 버전에서 악용될 수 있습니다.

오픈 소스의 단점

구글은 이 결함에 대한 패치를 출시했습니다. 그러나 안드로이드 커뮤니티의 작업 방식의 주요 단점은 제조업체가 사용자에게 업데이트를 전파해야 한다는 것입니다. 대다수의 제조업체는 이를 신경 쓰지 않습니다. 구글이 새로운 안드로이드 버전을 출시할 때 이러한 상황이 느껴지며, 현재도 마찬가지입니다. 대부분의 제조업체가 업데이트를 신경 쓰지 않을 수 있기 때문에 구형 안드로이드를 사용하는 수백만 명이 이 취약점에 영구적으로 갇히게 됩니다. 최신 안드로이드 5.0 롤리팝이 탑재된 새로운 핸드셋을 구매하지 않는 한 말입니다. 그러나 이러한 사용자는 일반적으로 중저가 및 중간 범위에 속하며, 최신 핸드셋을 구매할 여유가 없습니다. 따라서 새로운 핸드셋을 구매하는 것은 그들에게 실질적인 선택이 아닙니다.

“많은 사람들에게 새 전화기를 사는 것은 현실적이지 않습니다. ‘레거시’ 안드로이드 버그의 영향을 받을 가능성이 가장 높은 사람들은 처음부터 화려한 ‘최신’ 안드로이드 핸드셋을 구매할 여유가 없었던 사람들입니다.”라고 비어즐리는 블로그 게시물에서 말했습니다. “다시 말해, 수십억 대의 전화기가 이 패치를 곧 보지 못할 것 같습니다. 패치가 존재하는 것은 좋지만, 구글은 이를 전 세계에 배포할 실질적인 방법이 없는 것 같습니다.”

개념 증명

다음은 개념 증명입니다: