캐나다 퀘벡주 백신 여권 앱에서 취약점 발견돼

 

 

Flaw in the Quebec vaccine passport: analysis

캐나다 퀘벡주에서 사용하는 백신 접종 여권 모바일 앱(VaxiCode 및 VaxiCode Verif)에서 취약점이 발견되었습니다.

VaxiCode Verif 앱은 2021년 9월 1일부터 모든 비필수 서비스 판매자가 사용하는 백신 접종 여권의 보관 및 검증을 허용하는 모바일 애플리케이션입니다. 

VaxiCode와 VaxiCode Verif는 동일한 소스코드를 사용해 iOS 및 Android 앱을 생성하는 프레임워크를 사용하므로, 두 플랫폼의 앱은 동일합니다. 

디지털 서명 방식으로 암호화되는 VaxiCode Verif의 서명은 비대칭 암호화를 기반으로 하며, 키 쌍이 사용됩니다. 
이 쌍은 데이터 서명을 위해 발급자(퀘벡 정부)만이 소유하고 있는 개인 키로 구성되며, 서명이 개인 키로 이루어졌는지 확인하는 공개 키로 구성됩니다. 

취약점은 각 정부가 여권에 서명하고 여권을 검증하기 위한 자체 키 쌍을 가져야 하는 점을 악용하면서 발생할 수 있습니다. 

공격자가 키 쌍을 생성해 공개키를 임의의 위치에서 사용할 수 있도록 한 후, QR 코드 형태로 두 개의 SMART Health Card를 생성합니다. 

백신 여권 인증 과정에서 공격자는 먼저 첫 번째 QR 코드를 제시합니다. 

첫 번째 QR 코드가 거부되더라도 앱이 공격자의 공개키를 다운로드해 신뢰할 수 있는 키 체인에 추가하므로 공격자는 두 번째 QR 코드를 제시해 인증을 통과할 수 있습니다.

Akinox는 패치 버전의 iOS용 VaxiCode Verif 1.0.2를 공개했으며, 이 업데이트는 발급자의 URL에서 공개 키를 다운로드하는 기능을 완전히 제거했습니다. 

코로나19 확산을 방지하기 위해 백신 접종 여권을 발행할 예정인 국가, 기관들에서는 이러한 취약점에 유의하여 안전한 프로그램을 구현해야 할 것입니다.

 

출처:
https://www.welivesecurity.com/2021/08/31/flaw-quebec-vaccine-passport-vaxicode-verif-analysis/