Gmail 계정 탈취 취약점 발견!

Gmail 계정 탈취 취약점 발견!

Gmail Account Hijacking Vulnerability

최근 Gmail에서 매우 위험한 취약점이 발견되었습니다. 해당 취약점을 이용하면 공격자는 손쉽게 Gmail 계정을 탈취할 수 있습니다. 

Gmail은 이메일 포워딩 서비스를 제공하고 있습니다. 이 기능은 여러 개의 이메일 주소를 사용자 자신들의 Gmail로 연결하거나, 받은 이메일을 미리 지정해 놓은 주소로 포워딩할 수 있도록 돕는 서비스입니다. 하지만 이런 두 모듈은 인증우회공격에 취약하며, 공격자가 기존에 설정된 이메일의 권한을 이용하여 사용자의 Email을 탈취하고 또 발송할 수 있습니다. 

이번에 발견된 취약점은 google의 Gmail 계정이 다른 이메일 계정과 연동하는 방식과 관련된 것입니다. Google이 해당 기능에 대해 수정하기 전까지 공격자는 매우 손쉽게 Gmail 계정을 탈취할 수 있게 됩니다. 만약 공격자가 특정 사용자의 Gmail과 연동된 다른 이메일 계정을 알고 있다면, 특정 수신인이 발송한 인증 이메일을 통하여 바로 Gmail 계정을 탈취할 수 있습니다.

기술 내용

해당 취약점은 Gmail의  "Account and Import " > " Send Mail As " 두 포워딩 모듈에 존재합니다. 

이 논리적 취약점으로 인해 공격자는 Gmail 내 이메일 주소를 탈취할 수 있습니다. Gmail의 SMTP와 관련되거나 연결된 모든 이메일 주소들은 모두 이와 같은 위험성에 노출되어 있으며, @gmail.com, @googlemail.com 및 Googleemail.com 등도 포함됩니다. Gmail은 이메일의 발송성공과 상관없이 이메일 발송에 대한 결과를 알려줍니다. 만약 우리가 발송한 이메일 주소가 존재하지 않거나, 오프라인 상태일 때 Gmail은 "전송불가" 알림을 제공하며 전송 실패의 원인도 알려줍니다. 

관련하여 다음과 같은 상황에서 이메일 주소가 탈취될 수 있습니다.

1) 수신자의 SMTP가 오프라인 상태일 때

2) 수신자가 설정한 이메일 사용을 중지했을 떄

3) 수신자가 존재하지 않을 떄

4) 수신자는 존재하지만, 발신자를 수신거부 목록에 추가했을 때

다음과 같은 경우 수신자는 어떠한 이메일도 받을 수 없고, 이메일에서는 발송실패 알림을 수신자에게 전달합니다. 이 발송실패 알림에는 발송실패 이유와 함께 Verification Code 와 Activation Link가 포함됩니다. 공격자는 이 인증코드를 이용하여 유효성과 이메일 주소의 소유권을 확인할 수 있으며, 이는 인증의 최초 의도와는 전혀 다르게 악용되는 것입니다. 이러한 과정은 이메일을 포워딩하는 모듈에도 적용할 수 있습니다. 즉 모든 과정에서 공격자가 발송실패 알림을 띄울 수 있게 됩니다.

상세한 공격 과정은 다음과 같습니다. 

공격자가 Google로 이메일을 발송하여 어떠한 이메일 계정의 소유권을 획득하고자 시도합니다. Google은 특정 이메일 주소로 인증 이메일을 발송하여 인증을 시도합니다. 하지만 해당 이메일 주소는 이메일을 받을 수 없는 상태이기 때문에 Google은 이메일 발송자(공격자)에게 발송실패 이메일을 전송합니다. 이 때 발송실패 이메일에는 인증코드가 포함되어 있습니다. 공격자는 이 인증코드를 이용하여 해당 계정의 소유권을 획득할 수 있습니다.

전체 공격과정을 정리하면 다음과 같습니다. 

1) 공격자가 xyz@gmail.com의 소유권을 탈취하고자 합니다. 

2) Google은 xyz@gmail.com에 이메일을 발송하여 인증을 시도합니다. 

3) xyz@gmail.com은 이메일을 받을 수 없는 상태기 때문에 Google에 발송실패 상태를 전달합니다. 

4) Google은 공격자에게 인증코드가 포함된 실패 메일을 전송합니다. 

5) 공격자는 인증번호를 획득하여 xyz@gmail.com의 소유권을 획득할 수 있게 됩니다. 

공격자는 이렇게 탈취한 계정을 통해 스팸메일 발송이나 모니터링 등 악의적인 행위를 할 수 있게 됩니다. 

참고 :

http://blog.securityfuse.com/2016/11/gmail-account-hijacking-vulnerability.html

https://www.hackread.com/hacker-finds-gmail-hacking-flaw/