안드로이드용 아웃룩 앱에서 XSS 공격 가능한 취약점 발견!

Important Flaw in Outlook App for Android Affects Over 100 Millions Users

마이크로소프트가 안드로이드용 아웃룩 앱의 중요한 보안 취약점을 패치하는 업데이트를 공개했습니다. 아웃룩 앱은 현재 1억 명 이상이 사용하고 있는 인기 애플리케이션입니다.

<이미지 출처: https://thehackernews.com/2019/06/outlook-app-android.html>

마이크로소프트에 따르면, 앱이 수신하는 이메일 메시지를 파싱하는 방식에 크로스-사이트 스크립팅 취약점(CVE-2019-1105)이 존재하며, 안드로이드용 아웃룩 앱 3.0.88 이전 버전이 해당 취약점에 영향을 받습니다.

이 취약점이 악용될 경우, 원격 공격자가 특수 제작한 메시지를 포함한 이메일을 보내기만 하면 타깃 기기에서 악성 인앱(in-app) 클라이언트 측 코드를 실행할 수 있게 됩니다.

※ 인앱(in-app)이란?

앱 안에서 구매 활동이 이루어진다는 뜻으로, 앱 내에서 판매하는 디지털 제품, 소모품, 쿠폰 등을 구매할 때 이용할 수 있는 결제 모듈

이 취약점을 성공적으로 악용하면, 공격자는 취약한 시스템에서 크로스-사이트 스크립팅(XSS) 공격을 실행하여 현재 사용자의 보안 컨텍스트에서 스크립트를 실행할 수 있게 됩니다.

마이크로소프트 측에 따르면, 해당 결함에 대해 많은 연구원들이 책임감 있게 보고 했으며, 이 결함이 악용되면 잠재적 스푸핑 공격으로 이어질 수 있다고 밝혔습니다.

이 취약점에 대한 기술적 세부 정보나 PoC는 아직까지 공개되지 않았으며, 마이크로소프트는 이와 관련한 실제 공격 정황은 찾아볼 수 없었다고 전했습니다.

아직까지 안드로이드에서 아웃룩 앱을 자동으로 업데이트하지 않은 사용자분들은 구글 플레이 스토어를 통해 아웃룩 앱을 수동으로 업데이트하는 것을 권장 드립니다.

출처:

https://thehackernews.com/2019/06/outlook-app-android.html

https://brica.de/alerts/alert/public/1264489/microsoft-security-update-releases-cve-2019-1105-outlook-for-android-spoofing-vulnerability-has-undergone-a-major-revision-increment/