샤오미의 내장 브라우저 앱(Mi, Mint), URL 스푸핑 허용해

Unpatched Flaw in Xiaomi's Built-in Browser App Lets Hackers Spoof URLs

샤오미 Mi나 Redmi 스마트폰을 사용 중이라면, 내장 MI 브라우저나 구글 플레이스토어의 Mint 브라우저의 사용을 즉시 중단하시기 바랍니다.

샤오미가 제작한 이 두 웹 브라우저 앱 모두에서 치명적인 취약점이 발견되었습니다. 이 취약점은 샤오미 측에 이미 제보 되었지만 아직까지 패치되지 않았습니다.

이 취약점은 보안 연구원인 Arif Khan이 발견했으며, CVE-2019-10875로 등록되었습니다.

이 취약점은 브라우저 주소창의 스푸핑(Spoofing) 이슈로, 브라우저의 인터페이스 내 논리적 결함으로 인해 발생합니다.

해당 취약점을 악용하면 공격자는 악성 웹사이트가 주소창에 표시되는 URL을 제어할 수 있습니다.

※ 스푸핑(Spoofing)이란?

스푸핑은 ‘속이다, 사기 치다’의 뜻을 가지고 있으며, 네트워크 트래픽 흐름 임의로 변경, 시스템 권한 탈취 등의 공격을 말한다. 스푸핑 대상은 MAC 주소, IP 주소, 포트 등이 될 수 있다.

해당 취약점에 영향을 받는 브라우저는 URL의 “q” 쿼리 파라미터를 적절히 처리하지 못해, 주소 표시줄에서 “?q=” 부분 문자열 앞의 https URL을 제대로 표시하지 못합니다.

웹 브라우저의 주소 표시줄은 사용자가 웹사이트의 보안 수준을 확인할 수 있는 중요한 항목입니다. 

하지만 샤오미 사용자들은 피싱 또는 악성 콘텐츠를 제공하는 웹사이트에 방문했을 때도, 신뢰할 수 있는 웹사이트 표시가 나타나 웹사이트의 보안 수준을 오인할 수 있습니다.

오늘날 피싱 공격은 더욱 정교해지고 있기 때문에, 이와 같은 URL 스푸핑 취약점은 신뢰성 있는 사이트인지 확인하는 URL, SSL과 같은 보안 지표를 무용지물로 만들게 됩니다.

URL 스푸핑 방법은 원하는 도메인(피싱사이트) 뒤에 “?q=” 파라미터를 붙이면 됩니다.

예) http://[피싱사이트 주소]/?q=facebook.com

이와 같은 방법으로 샤오미의 브라우저에서 테스트해보면, 피싱 사이트의 내용을 로드하는 동시에 주소창에는 

 facebook.com이라고 표시합니다.

<이미지 출처: https://twitter.com/TheHackersNews/status/1114216403912019969/photo/1>

Hacker News 측에서 연구원이 전달한 PoC를 사용하여 테스트한 결과, 두 브라우저의 최신 버전 모두 스푸핑 취약점 작동을 확인했습니다.(MI 브라우저 v10.5.6-g, Mint 브라우저 v1.5.3)

<이미지 출처: https://thehackernews.com/2019/04/xiaomi-browser-vulnerability.html>

흥미로운 점은, 이 문제가 해당 웹 브라우저의 글로벌 버전에만 존재했으며 중국의 내수용 샤오미 스마트폰의 브라우저에서는 이 취약점이 발견되지 않았다는 점입니다.

Arif 씨는 The Hacker News와의 이메일에서 이 버그는 해외 또는 국제 버전에만 존재하며 중국, 내수용 버전에는 이 보안 버그가 없었다고 말했습니다.

그리고 중국의 제조사들은 그들의 OS, 어플리케이션, 펌웨어를 의도적으로 해외 사용자에게만 취약하도록 만드는지 것인지 궁금하다고 밝혔습니다.

더욱 이상한 점은 샤오미가 이 연구원에게 버그바운티를 지급하였지만, 취약점은 수정하지 않은 채 그대로 두었다는 점입니다.

Arif 씨는 이 취약점은 전 세계 수백만 사용자들에게 영향을 미치지만, 포상금은 Mi 브라우저 $99, 민트 브라우저 $99뿐이었다고 밝혔습니다.

또한 The Hacker News 측에서 샤오미에 이틀 전 직접 연락을 취하여 패치를 공개할 계획이 있는지 물었지만, 회사 측은 이 문제에 대한 공식 업데이트는 없을 예정이라는 답변을 내놓았습니다.

안드로이드 사용자들은 크롬, 파이어폭스 등 이 취약점이 없는 다른 웹 브라우저를 사용할 것을 권장합니다.

또한 마이크로소프트 엣지, 인터넷 익스플로러에는 아직까지 패치되지 않은 취약점이 있으므로 피하시기 바랍니다.

출처:

https://thehackernews.com/2019/04/xiaomi-browser-vulnerability.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10875