삼성 브라우저에서 동일출처정책(SOP, Same Origin Policy)을 우회할 수 있는 취약점 발견!

최근 삼성 안드로이드 브라우저에서 심각한 취약점이 발견되었습니다. 해당 취약점은 삼성 휴대폰을 사용하는 수억명의 사용자들이 영향을 받을 것으로 예상됩니다. 

이번에 발견된 취약점은 브라우저의 동일출처정책(SOP, Same Origin Policy)을 우회할 수 있는 취약점으로, CVE-2017-17692로 등록되었으며 삼성휴대폰 5.4.02.3 이상 버전의 브라우저에서 영향을 받습니다. 

이번에 발견된 브라우저의 동일출처정책(SOP, Same Origin Policy)은 악성 사이트가 동일출처정책의 제약에서 벗어나 사용자의 민감한 정보들을 읽을 수 있게됩니다. 

보안전문가 그룹 Rapid7은 다음과 같이 말했습니다.

이번에 발견된 취약점은, 즉 JavaScript가 동일출처정책(SOP, Same Origin Policy)을 위반한 것을 뜻하며, 공격자는 출처가 동일하지 않은 페이지를 통하여 JavaScript를 컨트롤하여 사용자를 악성 페이지로 유도할 수 있다. 이는 즉 공격자는 js스크립트를 자신이 원하는 어느 도메인이든 인젝션 시킬 수 있다는 뜻이다. 

공격자는 해당 취약점을 악용하여 사용자의 PC중의 cookie 혹은 현재 작성하고 있는 이메일 등의 정보를 탈취할 수 있습니다. 

현재 해당 취약점은 삼성에 보고되었으며, 삼성측에서 회신 결과 "해당 취약점은 Galaxy Note 8에서 이미 패치되었으며, 패치가 되지 않은 기기를 사용하는 사용자들은 구글플레이에서 해당 취약점에 대한 패치가 된 브라우저를 사용하면 된다"고 밝혔습니다. 

출처 : 

https://thehackernews.com/2017/12/same-origin-policy-bypass.html