영상 통화에 응답하는 것 만으로 왓츠앱 계정이 해킹 될 수 있어

Just Answering A Video Call Could Compromise Your WhatsApp Account

왓츠앱에서 영상 통화를 받는 것 만으로 스마트폰을 해킹할 수 있다면?

구글 프로젝트 제로의 보안 연구원인 Natalie Silvanovich가 왓츠앱 메신저에서 해커들이 사용자와 영상 통화를 하는 것만으로 왓츠앱을 원격으로 조정할 수 있도록 허용하는 치명적인 취약점을 발견했습니다.

이 취약점은 메모리 힙 오버플로우 문제로 사용자가 영상 통화 요청을 통해 특별히 제작한 악성 RTP 패킷을 수신할 때 트리거링 됩니다. 이로써 손상 에러가 발생하고 왓츠앱 모바일 앱이 손상 됩니다.

이 취약점은 왓츠앱의 RTP(Real-time Transport Protocol) 구현에 영향을 미치기 때문에 안드로이드 및 iOS 앱에도 영향을 주지만, 영상 통화 시 WebRTC를 사용하는 왓츠앱 웹에는 영향을 주지 않습니다.

Silvanovich는 왓츠앱 공격을 재현하는 방법을 포함한 PoC 익스플로잇 또한 공개했습니다.

이 PoC는 메모리 손상만을 유발시키지만, 또 다른 구글 프로젝트 제로의 연구원인 Tavis Ormandy는 “이 문제는 매우 심각합니다. 공격자의 전화를 받는 것 만으로 왓츠앱을 완전히 해킹할 수 있게 됩니다.”고 밝혔습니다.

즉 해커가 사용자의 왓츠앱 계정을 완전히 하이잭하고 대화를 스파잉하기 위해서는 사용자의 번호만 알면 된다는 이야기입니다.

Silvanovich는 지난 8월 이 취약점을 발견하여 왓츠앱에 제보했습니다. 왓츠앱은 안드로이드 클라이언트는 9월 28일, 아이폰 클라이언트는 10월 3일에 각각 이 문제를 해결했습니다.

따라서 아직까지 모바일용 왓츠앱을 업데이트 하지 않았다면, 즉시 업데이트 하기를 권장합니다.

출처 : 

https://thehackernews.com/2018/10/hack-whatsapp-account-chats.html