왓츠앱과 텔레그램 계정들, 사진 단 한 장으로 해킹 가능해

왓츠앱과 텔레그램 계정들, 사진 단 한 장으로 해킹 가능해

How One Photo Could Have Hacked Your WhatsApp and Telegram Accounts

만약 누군가 왓츠앱이나 텔레그램으로 귀여운 고양이나 매력적인 여성의 사진을 보내면, 이미지를 클릭하기 전에 주의해야 합니다. 이 사진 한장으로 왓츠앱과 텔레그램의 계정을 단 몇 초만에 해킹할 수 있기 때문입니다. 

최근 왓츠앱과 텔레그램은 조작된 이미지를 클릭하는 것만으로 사용자의 계정을 탈취할 수 있었던 보안취약점을 패치하였습니다. 

이 취약점은 왓츠앱과 텔레그램의 브라우저용에만 영향을 미치며, 모바일 앱에는 아무런 영향이 없는 것으로 확인되었습니다. 

보안연구원들의 분석결과에 따르면, 이 취약점은 메시징 서비스가 이미지 내부에 악성코드가 숨겨져 있는지 여부를 확인하지 않은 채 이미지 및 미디어 파일을 처리하기 때문에 발생한다고 밝혔습니다. 

해당 취약점을 악용하기 위해서는 정상적으로 보이는 이미지에 악성코드를 숨겨 사용자에게 보내기만 하면 됩니다. 만약 사용자가 해당 사진을 클릭하면, 공격자는 사용자의 왓츠앱 또는 텔레그램에 저장된 데이터 전체에 대한 접근권한을 획득하게 됩니다. 즉, 사용자의 개별 또는 그룹채팅, 사진, 영상, 음성, 기타 공유된 파일들, 연락처 등 사용자의 계정에 대한 모든 접근권한을 갖게되는 것입니다. 

사용자의 계정을 해킹한 공격자는 악성코드가 포함된 이미지를 피해자 메신저 주소록에 있는 모든 사람에게 발송하며, 이로서 탈취 된 한 개의 계정을 이용하여 또 다른 수 많은 계정을 해킹할 수 있습니다. 

해당 취약점이 탐지 되지 않은 이유는?

왓츠앱과 텔레그램은 송신자와 수신자를 제외하고는 아무도 메시지를 읽을 수 없도록 종단간 암호화를 지원합니다. 하지만 이 종단간 암호화 보안장치도 이 취약점에 원인으로 작용하였습니다. 

메세지가 송신자 측에서 암호화 되기 때문에, 왓츠앱과 텔레그램은 악성 코드가 수신자에게 전송 되어 컨텐츠가 실행되는 것을 막을 수 없었습니다. 

왓츠앱은 지난 목요일 해당 취약점을 24시간 이내에 패치하였으며, 텔레그램은 이번 월요일에 패치하였습니다. 

수정사항들은 서버에 적용되었기 때문에 사용자들은 별도의 업데이트가 필요 없습니다. 다만 브라우저를 재시작 해야합니다. 

참고:

http://thehackernews.com/2017/03/hack-whatsapp-telegram-account.html

http://blog.checkpoint.com/2017/03/15/check-point-discloses-vulnerability-whatsapp-telegram/