WhatsApp에는 4개의 심각한 SSL 보안 구멍이 있어 4억 3천만 사용자 ID와 전화번호가 유출될 수 있었습니다

Facebook이 WhatsApp 크로스 플랫폼 모바일 메시징 앱 인수를 발표한 지 며칠 만에, 연구자 그룹이 WhatsApp의 보안 장치에서 심각한 구멍을 발견했습니다. 이 구멍들은 Praetorian에 의해 확인되고 요약되었습니다. Praetorian은 새로운 모바일 애플리케이션 보안 테스트 플랫폼인 Project Neptune을 WhatsApp에 적용해 보았고, Project Neptune은 놀라운 결과를 보여주었습니다.

WhatsApp은 소셜 네트워킹 거대 기업 Facebook에 의해 190억 달러에 인수되었다는 보도로 인해 뉴스에 오른 지 이틀 만에 발생한 사건입니다. 구매 당시 WhatsApp은 4억 3천만 명의 활성 사용자를 보유하고 있었고 하루에 100만 명의 사용자가 추가되고 있었습니다. 430억 명의 사용자 이름과 전화번호가 온라인에 유출되는 것을 상상해 보십시오. 이는 환상적인 이론일 뿐이지만, Project Neptune이 보안 보고서를 제공하지 않았다면 현실이 되었을 것입니다.

Snapchat의 대규모 유출 사건이 인터넷에서 발생한 이후, WhatsApp 보안 담당자는 Project Neptune 보고서를 주의 깊게 살펴보고 있으며, Snapchat과는 달리 유출을 인정조차 하지 않고 460만 사용자 ID가 온라인에 유출되는 당혹스러운 상황을 겪고 있습니다.

Praetorian은 WhatsApp의 보안 결함에 어떻게 접근했는지 설명합니다. Project Neptune은 기업이 빠른 모바일 개발 주기에 발맞추어 지속적이고 주문형 보안 테스트를 통합할 수 있도록 하는 Praetorian의 새로운 모바일 애플리케이션 보안 테스트 플랫폼입니다. Praetorian은 새로 출시된 Project Neptune의 베타 테스트 프로그램으로 WhatsApp을 선택했습니다.

Project Neptune의 모바일 애플리케이션 보안 테스트를 WhatsApp에서 시작한 지 몇 분 만에, WhatsApp 사용자 데이터의 기밀성에 영향을 미치는 4개의 SSL 관련 보안 문제를 발견할 수 있었습니다. 이는 NSA와 그들의 BigEyes가 사용자 데이터를 실시간으로 얻기 위해 좋아하는 백도어와 같은 것입니다. 기본적으로 이는 그들이나 사이버 범죄자가 연결을 중간에서 가로채고 암호화를 낮춰서 이를 해독하고 트래픽을 엿보거나 사용자 데이터를 다운로드할 수 있게 합니다. 이러한 보안 문제는 WhatsApp 사용자 정보와 통신을 위험에 빠뜨립니다.

Praetorian은 WhatsApp 엔지니어와 연락을 취했고, 그들은 Project Neptune이 지적한 모든 보안 문제를 해결하기 위해 노력하고 있습니다. 아래는 Project Neptune이 발견한 문제와 WhatsApp의 조치입니다.

*

*SSL Pinning이 적용되지 않음 WhatsApp은 모바일 애플리케이션과 백엔드 웹 서비스 간의 신뢰할 수 있는 연결을 설정할 때 SSL 핀닝을 수행하지 않습니다. SSL 핀닝이 적용되지 않으면 공격자가 모바일 애플리케이션과 백엔드 웹 서비스 간의 연결을 중간에서 가로챌 수 있습니다. 이는 공격자가 사용자 자격 증명, 세션 식별자 또는 기타 민감한 정보를 엿볼 수 있게 합니다.
업데이트 2014/02/21: WhatsApp은 현재 SSL 핀닝 추가 작업을 활발히 진행 중입니다.*

SSL 내보내기 암호 지원 활성화 WhatsApp의 백엔드 서버는 약한 40비트 및 56비트 암호화 방식을 허용합니다. 악의적인 개입이 없다면 이는 문제가 되지 않을 수 있습니다. 왜냐하면 모바일 애플리케이션과 서버가 암호화를 협상하고 둘 다 지원하는 가장 강력한 암호화로 정착할 것이기 때문입니다. 그러나 공격자가 통신을 가로채고 강제로 40비트 또는 56비트 DES 암호화로 낮출 수 있으며, 이는 암호화에 대한 무차별 공격을 가능하게 합니다. 업데이트 2014/02/21: 더 이상 내보내기 암호 지원의 증거를 찾지 못했습니다.

*SSL 널 암호 지원 활성화 상황이 더 나빠집니다. WhatsApp은 심지어 널 암호를 지원하는데, 이는 암호화되어야 할 데이터지만 실제로는 그렇지 않습니다. 널 암호는 어떤 암호화도 수행하지 않습니다. 즉, 입력 스트림을 출력 스트림으로 변경 없이 단순히 복사합니다. 널 암호가 지원되는 경우, 클라이언트 모바일 애플리케이션이 SSL을 사용하여 서버와 통신하려고 시도하고 양측이 공통 암호 모음을 지원하지 않으면(악의적인 가로채기로 인해) 데이터가 일반 텍스트로 전송됩니다. 널 암호를 지원하는 것은 흔히 접할 수 있는 일이 아닙니다. 꽤 드뭅니다. 업데이트 2014/02/21: 더 이상 널 암호 지원의 증거를 찾지 못했습니다.*

*SSLv2 프로토콜 지원 활성화 WhatsApp은 또한 여러 가지 약점을 포함하고 있는 SSL 버전 2(v2)를 지원하는 것으로 확인되었습니다. SSLv2는 여러 특정 공격에 취약하며, 이는 엿보기 및 중간에서 가로채기를 요구합니다. 또한, SSLv2는 MAC 후 암호화 및 40비트 MAC을 사용하며, 이는 모두 설계 결함으로 간주되는 약점입니다. 공격자의 시간과 자원에 따라 SSLv2로 보호되는 모든 통신은 데이터 변조 또는 공개를 허용할 수 있는 중간에서 가로채기 공격에 취약할 수 있습니다. 업데이트 2014/02/21: 더 이상 SSLv2 지원의 증거를 찾지 못했습니다.*

Praetorian은 Project Neptune에서 수행된 보안 테스트 사례가 비침습적이며 범위가 제한적이었고 놀라운 결과를 제공했다고 말했습니다. Facebook과 WhatsApp의 승인을 받아 모바일 애플리케이션과 백엔드 인프라에 대한 전체 규모 평가 및 보다 철저한 보안 평가를 수행하기를 희망합니다.