상세 컨텐츠

본문 제목

공격자가 기기를 원격으로 해킹하도록 허용하는 새로운 왓츠앱 취약점 발견

국내외 보안동향

by 알약4 2021. 4. 15. 14:00

본문

 

 

New WhatsApp Bugs Could've Let Attackers Hack Your Phone Remotely

 

왓츠앱이 안드로이드용 메시징 앱에서 공격자가 원격으로 기기에서 악성코드를 실행하도록 허용하고 심지어 암호화된 통신을 해킹할 수 있었던 보안 취약점 2개를 수정했습니다.

 

이 취약점은 안드로이드 버전 9 및 이하 버전을 실행하는 기기를 노리며, “Man-in-the-Disk”로 알려진 공격을 통해 앱과 외부 저장소 사이에서 교환되는 특정 데이터를 조작하여 앱을 해킹할 수 있습니다.

 

Census Labs의 연구원들은 아래와 같이 밝혔습니다.

 

공격자는 앞서 언급한 왓츠앱 취약점 2개를 통해 원격으로 TLS 1.3 TLS 1.2 세션용 TLS 암호화 관련 자료를 수집할 수 있었을 것입니다.”

 

“TLS 관련 비밀 정보를 손에 넣은 후, 우리는 중간자 공격(Man-in-the-Middle)을 통해 왓츠앱 통신을 해킹하여 피해자의 기기에서 원격으로 코드를 실행하고 사용자 통신 종단간 암호화에 사용되는 Noise 프로토콜 키를 추출하는 방법을 시연할 것입니다.”

 

이 취약점(CVE-2021-24027)은 안드로이드의 콘텐츠 제공 업체에 대한 크롬의 지원("content://" URL 체계)과 동일 출처 정책 우회(CVE-2020-6516) 취약점을 악용합니다. 따라서 공격자가 왓츠앱을 통해 피해자에게 브라우저에서 오픈될 경우 HTML 파일에 포함된 코드를 실행하는 특수 제작된 HTML 파일을 보내도록 허용합니다.

 

이 악성코드를 악용할 경우 서브 디렉토리에 TLS 세션 키 세부 정보를 저장하는 것으로 알려진 왓츠앱을 포함한 보호되지 않은 외부 저장소 영역에 저장된 모든 리소스에 접근이 가능할 수 있어 외부 저장소에서 읽거나 쓰도록 프로비저닝된 모든 앱에 민감 정보가 노출될 수 있습니다.

 

Cencus Labs의 연구원인 Chariton Karamitas는 아래와 같이 밝혔습니다.

 

공격자는 피해자가 HTML 문서 첨부파일을 열도록 속이기만 하면 됩니다. 왓츠앱은 콘텐츠 제공자를 통해 크롬에서 이 첨부파일을 렌더링하고, 공격자의 JavaScript 코드는 저장된 TLS 세션 키를 훔칠 수 있습니다.”

 

키를 손에 넣은 공격자는 중간자 공격을 실행해 원격 코드 실행 권한을 얻거나, 피해자의 기기에서 원격으로 의도적인 메모리 에러를 트리거해 앱이 진단 목적으로 수집한 Noise 프로토콜 키 페어를 추출할 수 있습니다.

 

이 오류가 발생할 경우 왓츠앱의 디버깅 메커니즘이 시작되어 애플리케이션 로그, 시스템 정보, 기타 메모리 콘텐츠와 함께 인코딩된 키 페어를 전용 충돌 로그 서버인 "crashlogs.whatsapp.net"에 업로드합니다.

 

하지만 이는 새로운 버전 앱을 실행하는 기기에서만 발생하며, 현재 버전이 공개된지는 10일이 채 지나지 않았습니다.

 

연구원들은 이 취약점이 실제 공격에 악용되었다는 증거는 찾아볼 수 없었다고 밝혔습니다.

 

왓츠앱 사용자는 즉시 버전 2.21.4.18로 업데이트할 것을 권장합니다.

 

 

 

 

 

출처:

https://thehackernews.com/2021/04/new-whatsapp-bug-couldve-let-attackers.html

https://census-labs.com/news/2021/04/14/whatsapp-mitd-remote-exploitation-CVE-2021-24027/

태그

관련글 더보기

댓글 영역