공격자가 기기를 원격으로 해킹하도록 허용하는 새로운 왓츠앱 취약점 발견

 

 

New WhatsApp Bugs Could've Let Attackers Hack Your Phone Remotely

 

왓츠앱이 안드로이드용 메시징 앱에서 공격자가 원격으로 기기에서 악성코드를 실행하도록 허용하고 심지어 암호화된 통신을 해킹할 수 있었던 보안 취약점 2개를 수정했습니다.

 

이 취약점은 안드로이드 버전 9 및 이하 버전을 실행하는 기기를 노리며, “Man-in-the-Disk”로 알려진 공격을 통해 앱과 외부 저장소 사이에서 교환되는 특정 데이터를 조작하여 앱을 해킹할 수 있습니다.

 

Census Labs의 연구원들은 아래와 같이 밝혔습니다.

 

“공격자는 앞서 언급한 왓츠앱 취약점 2개를 통해 원격으로 TLS 1.3 및 TLS 1.2 세션용 TLS 암호화 관련 자료를 수집할 수 있었을 것입니다.”

 

“TLS 관련 비밀 정보를 손에 넣은 후, 우리는 중간자 공격(Man-in-the-Middle)을 통해 왓츠앱 통신을 해킹하여 피해자의 기기에서 원격으로 코드를 실행하고 사용자 통신 종단간 암호화에 사용되는 Noise 프로토콜 키를 추출하는 방법을 시연할 것입니다.”

 

이 취약점(CVE-2021-24027)은 안드로이드의 콘텐츠 제공 업체에 대한 크롬의 지원("content://" URL 체계)과 동일 출처 정책 우회(CVE-2020-6516) 취약점을 악용합니다. 따라서 공격자가 왓츠앱을 통해 피해자에게 브라우저에서 오픈될 경우 HTML 파일에 포함된 코드를 실행하는 특수 제작된 HTML 파일을 보내도록 허용합니다.

 

이 악성코드를 악용할 경우 서브 디렉토리에 TLS 세션 키 세부 정보를 저장하는 것으로 알려진 왓츠앱을 포함한 보호되지 않은 외부 저장소 영역에 저장된 모든 리소스에 접근이 가능할 수 있어 외부 저장소에서 읽거나 쓰도록 프로비저닝된 모든 앱에 민감 정보가 노출될 수 있습니다.

 

Cencus Labs의 연구원인 Chariton Karamitas는 아래와 같이 밝혔습니다.

 

“공격자는 피해자가 HTML 문서 첨부파일을 열도록 속이기만 하면 됩니다. 왓츠앱은 콘텐츠 제공자를 통해 크롬에서 이 첨부파일을 렌더링하고, 공격자의 JavaScript 코드는 저장된 TLS 세션 키를 훔칠 수 있습니다.”

 

키를 손에 넣은 공격자는 중간자 공격을 실행해 원격 코드 실행 권한을 얻거나, 피해자의 기기에서 원격으로 의도적인 메모리 에러를 트리거해 앱이 진단 목적으로 수집한 Noise 프로토콜 키 페어를 추출할 수 있습니다.

 

이 오류가 발생할 경우 왓츠앱의 디버깅 메커니즘이 시작되어 애플리케이션 로그, 시스템 정보, 기타 메모리 콘텐츠와 함께 인코딩된 키 페어를 전용 충돌 로그 서버인 "crashlogs.whatsapp.net"에 업로드합니다.

 

하지만 이는 새로운 버전 앱을 실행하는 기기에서만 발생하며, 현재 버전이 공개된지는 10일이 채 지나지 않았습니다.

 

연구원들은 이 취약점이 실제 공격에 악용되었다는 증거는 찾아볼 수 없었다고 밝혔습니다.

 

왓츠앱 사용자는 즉시 버전 2.21.4.18로 업데이트할 것을 권장합니다.

 

 

 

 

 

출처:

https://thehackernews.com/2021/04/new-whatsapp-bug-couldve-let-attackers.html

https://census-labs.com/news/2021/04/14/whatsapp-mitd-remote-exploitation-CVE-2021-24027/