포스팅 내용

국내외 보안동향

이미지를 전송해 앱을 충돌시키는 인스타그램 취약점 발견

Instagram bug allowed crashing the app via image sent to device

 

안드로이드와 iOS용 인스타그램 앱에서 공격자가 악용할 경우 원래 계정 주인이 앱에 접근할 수 없도록 하고 계정을 탈취하거나 모바일 기기를 스파잉할 수 있는 심각한 취약점이 발견되었습니다.

 

공격자가 취약점을 촉발시키기 위해서는 일반적인 메시징 플랫폼이나 이메일을 통해 타깃에게 특수 제작된 이미지를 보내기만 하면 됩니다.

 

이 문제는 인스타그램이 이미지를 파싱하는 방식에 존재합니다. 인스타그램이 포스팅 옵션으로 표시하기 위해 접근이 가능할 경우 이 취약점을 통해 위험한 작업이 가능합니다.

 

커스텀 타사 코드 통합

 

이 취약점은 인스타그램이 예상한 것 보다 큰 이미지를 업로드하려 시도할 때 발생하는 힙 버퍼 오버플로우 (CVE-2020-1895)입니다.

 

페이스북은 사이버보안 회사인 Check Point에서 이 문제를 제보 받아 지난 수정했으며 애매한 보안 권고를 발표했습니다.

 

Check PointGal Elbaz는 이 취약점에 대한 상세한 기술 보고서를 발표하며 인스타그램에서 타사 코드를 커스텀 통합해 심각한 원격 코드 실행 위험에 노출되었다고 밝혔습니다.

 

이 경우 취약점은 인스타그램 개발자들이 추가한 Mozjpeg을 통합할 때 추가된 하드코딩 상수 값이었습니다. Mozjpeg는 모질라가 JPEG 이미지의 압축을 향상시키기 위해 libjpeg-turbo를 기반으로 만든 오픈소스 JPEG 인코더입니다.

 

Check PointMozjpeg에 악용 가능한 취약점이 있는지 조사하기 시작했습니다. 목적은 인스타그램이 해당 라이브러리를 통해 영향을 받을 수 있는지 알아보는 것이었기 때문에 연구원들은 앱에 통합된 Mozjpeg에만 집중했습니다.

 

이들은 JPEG 이미지를 파싱할 때 이미지 사이즈를 처리하는 함수에서 압축 해제 시 메모리 할당 문제(정수 오버플로우)를 유발하는 에러를 발견했습니다.

 

 

<이미지 출처: https://research.checkpoint.com/2020/instagram_rce-code-execution-vulnerability-in-instagram-app-for-android-and-ios/>

 

 

이는 메모리를 손상시키는데 악용될 수 있습니다. 이 취약점은 인스타그램 앱을 충돌시킬 뿐이지만 악용될 경우 심각한 위험을 초래할 수 있습니다.

 

Elbaz는 취약점을 촉발시키기 위해서는 2^32 바이트보다 큰 사이즈가 필요하다고 밝혔습니다.

 

이 문제는 버퍼 오버플로우로 사이즈가 큰 이미지를 보내며 애플리케이션은 이미지의 크기가 더 작다고 믿도록 속이는 방법으로 촉발시킬 수 있습니다. 이로 인해 덮어쓰기가 발생하며 공격을 시작할 수 있게 됩니다.”

 

이러한 방식으로 제작된 이미지를 통해 공격자는 인스타그램의 실행 플로우를 훔쳐콘텍스트 및 권한 내에서 코드를 실행하도록 만들 수 있게 됩니다.

 

인스타그램은 연락처, 저장소, 기기의 위치, 카메라, 마이크 등 다양한 접근 권한을 가지고 있습니다.

 

공격자는 기기 소유자의 인스타그램 프로필을 제어하는 것 이외에도 아무런 의심을 불러 일으키지 않고도 해당 기기를 스파잉할 수 있습니다.

 

공격자가 실행 가능한 시나리오는 아래와 같습니다.

 

1. 피해자에게 이메일, WhatsApp, SMS 또는 기타 메시징 서비스를 통해 악성 이미지를 보낼 수 있습니다.

2. 사용자가 이미지를 저장하고 인스타그램 앱을 열면 취약점 악용이 시작되어 공격자는 타깃 기기에 대한 전체 접근 권한을 얻게 됩니다.

3. 피해자가 인스타그램 앱을 재설치 하지 않는 한 지속적으로 충돌시킬 수 있게 됩니다.

 

 

<이미지 출처: https://www.bleepingcomputer.com/news/security/instagram-bug-allowed-crashing-the-app-via-image-sent-to-device/>

 

 

연구원들은 이 취약점을 악용하여 발생할 수 있는 모든 가능성을 찾아내지는 못했습니다.

 

페이스북은 해당 취약점을 수정했으며 아직까지 악용되었다는 증거는 찾아볼 수 없었다고 밝혔습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/instagram-bug-allowed-crashing-the-app-via-image-sent-to-device/

https://www.facebook.com/security/advisories/cve-2020-1895

https://research.checkpoint.com/2020/instagram_rce-code-execution-vulnerability-in-instagram-app-for-android-and-ios/


티스토리 방명록 작성
name password homepage