포트나이트 안드로이드 앱, 맨 인 더 디스크 공격에 취약

Fortnite Android App Vulnerable to Man-in-the-Disk Attacks

구글의 보안 연구원들이 엄청나게 인기있는 포트나이트 안드로이드 앱이 맨 인 더 디스크(Man-in-the-disk, MitD)공격에 취약하다는 사실을 공개했습니다.

이 취약점은 이미 사용자의 전화에 설치 된 권한이 낮은 악성 앱들이 포트나이트 앱 설치 과정에 하이잭해 더욱 높은 권한 레벨을 가진 다른 악성 앱을 설치할 수 있도록 허용합니다.

포트나이트의 개발사인 에픽 게임즈는 이 취약점을 수정하는 버전인 2.1.0을 공개했습니다.

MitD 공격에 취약한 포트나이트 앱

MitD 공격은 안드로이드 앱이 철저히 보호 된 내부 저장 공간 이외에 외부 저장 매체에 데이터를 저장할 때 가능합니다.

외부 저장 공간은 모든 앱에 공유 되기 때문에 공격자는 특정 앱의 외부 저장 공간을 볼 수 있으며, 저장 된 데이터를 조작할 수 있게 됩니다.

포트나이트 앱은 실제 게임을 포함하지 않고 있으며, 앱은 설치 프로그램에 불과하기 때문에 이 공격에 취약합니다. 사용자가 앱을 설치 하면, 인스톨러는 기기의 외부 저장 공간에 실제 게임을 다운로드 및 설치합니다.

구글의 연구원은 버그리포트에 “WRITE_EXTERNAL_STORAGE 권한이 있는 모든 앱들은 이 APK가 다운로드 되고 지문이 확인 된 후 바꿔치기할 수 있습니다. 이 포트나이트 인스톨러는 바꿔치기 된 가짜 APK를 설치할 것입니다.”

“가짜 APK가 targetSdkVersion 22 이하일 경우, 설치 시 요청한 모든 권한이 부여 될 것입니다. 이 취약점은 기기의 앱이 사용자에게 공개 되어야하는 모든 권한을 사용해 포트나이트 인스톨러를 하이잭 해 가짜 APK를 설치하도록 허용합니다.” 고 밝혔습니다. 그는 데모 비디오도 공개했습니다.

에픽 게임즈, 구글의 연구원들에 불만 표해

하지만 버그 공개 과정에는 논란의 여지가 있었습니다. 에픽 게임즈의 CEO인 Tim Sweeney는 구글이 홍보 효과를 노린 것이라 비난했습니다.

“우리는 구글에 업데이트가 더 많이 설치될 때까지 이 취약점을 공개하지 말아달라고 부탁했습니다. 하지만 구글은 거절했으며, 구글의 홍보 효과를 높이기 위해 안드로이드 사용자들에게 불필요한 위험을 겪게 했습니다.”

그는 에픽 게임즈의 엔지니어가 사용자들이 앱을 업데이트 할 수 있도록 구글에 취약점 공개를 90일만 보류해달라고 요청했었다고 밝혔습니다.

구글은 에픽게임즈의 요청을 거절하고 에픽게임즈가 패치를 공개한지 일주일 후인 이번 주에 버그리포트를 공개했습니다. 많은 사람들이 이를 두고 에픽 게임즈가 수익의 100%를 가져가기 위해 구글 플레이스토어에서 앱을 내린 것에 대한 복수라 추측하고 있습니다.

에픽게임즈의 이러한 행동에 대해 보안 연구원들은 앱이 사용자의 기기에 다운로드 되기 전 구글의 바운서 서비스에서 스캔 되지 않기 때문에 보안 결점들이 발견 되지 않을 가능성이 있다고 경고했었습니다.

구글, 대부분의 사용자들이 업데이트 했다고 밝혀

오리지널 버그 리포트에 포함 되지는 않았지만, Sweeney는 구글의 엔지니어가 개인적으로 밝힌 취약점 공개 이유를 밝혔습니다.

Sweeney는 “구글이 모든 안드로이드 기기(!)에서 포트나이트 앱을 모니터링 하고 있으며, 대부분의 앱이 패치 되었다고 판단했다는 소식을 개인적으로 전달해 왔습니다.”고 밝혔습니다.

출처 :

https://www.bleepingcomputer.com/news/security/fortnite-android-app-vulnerable-to-man-in-the-disk-attacks/