이미지를 전송해 앱을 충돌시키는 인스타그램 취약점 발견

Instagram bug allowed crashing the app via image sent to device

 

안드로이드와 iOS용 인스타그램 앱에서 공격자가 악용할 경우 원래 계정 주인이 앱에 접근할 수 없도록 하고 계정을 탈취하거나 모바일 기기를 스파잉할 수 있는 심각한 취약점이 발견되었습니다.

 

공격자가 취약점을 촉발시키기 위해서는 일반적인 메시징 플랫폼이나 이메일을 통해 타깃에게 특수 제작된 이미지를 보내기만 하면 됩니다.

 

이 문제는 인스타그램이 이미지를 파싱하는 방식에 존재합니다. 인스타그램이 포스팅 옵션으로 표시하기 위해 접근이 가능할 경우 이 취약점을 통해 위험한 작업이 가능합니다.

 

커스텀 타사 코드 통합

 

이 취약점은 인스타그램이 예상한 것 보다 큰 이미지를 업로드하려 시도할 때 발생하는 힙 버퍼 오버플로우 (CVE-2020-1895)입니다.

 

페이스북은 사이버보안 회사인 Check Point에서 이 문제를 제보 받아 지난 수정했으며 애매한 보안 권고를 발표했습니다.

 

Check Point의 Gal Elbaz는 이 취약점에 대한 상세한 기술 보고서를 발표하며 인스타그램에서 타사 코드를 커스텀 통합해 심각한 원격 코드 실행 위험에 노출되었다고 밝혔습니다.

 

이 경우 취약점은 인스타그램 개발자들이 추가한 Mozjpeg을 통합할 때 추가된 하드코딩 상수 값이었습니다. Mozjpeg는 모질라가 JPEG 이미지의 압축을 향상시키기 위해 libjpeg-turbo를 기반으로 만든 오픈소스 JPEG 인코더입니다.

 

Check Point는 Mozjpeg에 악용 가능한 취약점이 있는지 조사하기 시작했습니다. 목적은 인스타그램이 해당 라이브러리를 통해 영향을 받을 수 있는지 알아보는 것이었기 때문에 연구원들은 앱에 통합된 Mozjpeg에만 집중했습니다.

 

이들은 JPEG 이미지를 파싱할 때 이미지 사이즈를 처리하는 함수에서 압축 해제 시 메모리 할당 문제(정수 오버플로우)를 유발하는 에러를 발견했습니다.

 

 

<이미지 출처: https://research.checkpoint.com/2020/instagram_rce-code-execution-vulnerability-in-instagram-app-for-android-and-ios/>

 

 

이는 메모리를 손상시키는데 악용될 수 있습니다. 이 취약점은 인스타그램 앱을 충돌시킬 뿐이지만 악용될 경우 심각한 위험을 초래할 수 있습니다.

 

Elbaz는 취약점을 촉발시키기 위해서는 2^32 바이트보다 큰 사이즈가 필요하다고 밝혔습니다.

 

“이 문제는 버퍼 오버플로우로 사이즈가 큰 이미지를 보내며 애플리케이션은 이미지의 크기가 더 작다고 믿도록 속이는 방법으로 촉발시킬 수 있습니다. 이로 인해 덮어쓰기가 발생하며 공격을 시작할 수 있게 됩니다.”

 

이러한 방식으로 제작된 이미지를 통해 공격자는 인스타그램의 실행 플로우를 “훔쳐” 콘텍스트 및 권한 내에서 코드를 실행하도록 만들 수 있게 됩니다.

 

인스타그램은 연락처, 저장소, 기기의 위치, 카메라, 마이크 등 다양한 접근 권한을 가지고 있습니다.

 

공격자는 기기 소유자의 인스타그램 프로필을 제어하는 것 이외에도 아무런 의심을 불러 일으키지 않고도 해당 기기를 스파잉할 수 있습니다.

 

공격자가 실행 가능한 시나리오는 아래와 같습니다.

 

1. 피해자에게 이메일, WhatsApp, SMS 또는 기타 메시징 서비스를 통해 악성 이미지를 보낼 수 있습니다.

2. 사용자가 이미지를 저장하고 인스타그램 앱을 열면 취약점 악용이 시작되어 공격자는 타깃 기기에 대한 전체 접근 권한을 얻게 됩니다.

3. 피해자가 인스타그램 앱을 재설치 하지 않는 한 지속적으로 충돌시킬 수 있게 됩니다.

 

 

<이미지 출처: https://www.bleepingcomputer.com/news/security/instagram-bug-allowed-crashing-the-app-via-image-sent-to-device/>

 

 

연구원들은 이 취약점을 악용하여 발생할 수 있는 모든 가능성을 찾아내지는 못했습니다.

 

페이스북은 해당 취약점을 수정했으며 아직까지 악용되었다는 증거는 찾아볼 수 없었다고 밝혔습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/instagram-bug-allowed-crashing-the-app-via-image-sent-to-device/

https://www.facebook.com/security/advisories/cve-2020-1895

https://research.checkpoint.com/2020/instagram_rce-code-execution-vulnerability-in-instagram-app-for-android-and-ios/