[해외보안동향] 돌핀(Dolphin), 머큐리(Mercury) 안드로이드 브라우저 취약점 발견!

돌핀(Dolphin), 머큐리(Mercury) 안드로이드 브라우저 취약점 발견!

Vulnerabilities Identified in Dolphin, Mercury Android Browsers

돌핀(Dolphin), 머큐리(Mercury) 안드로이드 브라우저에서 원격 코드 실행 및 임의의 읽기/쓰기가 가능한 취약점이 발견되었습니다. 

돌핀 브라우저 취약점은, 사용자가 새로운 브라우저 테마를 다운로드 및 적용 시킬 때 존재하는 취약점으로, 공격을 실행하기 위해서는 사용자와 공격자가 동일한 공유 네트워크에 있어야 합니다.

돌핀 브라우저에는 테마 파일의 압축을 해제하고 이를 브라우저에 적용하는 기능이 있는데, 공격자는 새로운 테마를 다운로드 하는 트래픽을 프록싱 하여 정상 테마파일을 변조한 테마파일로 바꿔치기 하므로서, 브라우저의 데이터 디렉토리에 임의 코드를 쓸 수 있는 취약점 입니다. 또한 일단 접근에 성공하면, 이미 브라우저에 존재하는 라이브러리를 다른 코드로 덮어씌우는 방법을 통하여 "완벽한 코드 실행"도 가능한 것으로 나타났습니다. 

이번 돌핀 브라우저 취약점은 지난 금요일(21일)에 공개되었으며, 현재 돌핀 브라우저 개발자들도 해당 취약점을 알고 업데이트를 준비중이라고 하였습니다. 

또 다른 안드로이드 브라우저인 머큐리 브라우저에서는 불완전한 URL 스키마 및 경로 조작(Path Traversal) 취약점이 발견되었습니다. 이 취약점을 이용하면, 머큐리 브라우저의 데이터 디렉토리를 읽을 수 있을 뿐만 아니라, 브라우저 디렉토리 내의 특정 파일들을 다운로드, 업로드 및 덮어쓰기 까지 가능합니다. 

머큐리 브라우저 개발사인 iLegendSoft는 해당 취약점에 대하여 아직까지 답변을 내놓지 않고 있습니다. 

돌핀 브라우저와 머큐리 브라우저 취약점이 패치될 때까지 다른 브라우저를 이용하는 것이 좋습니다. 

참고 : 

https://threatpost.com/vulnerabilities-identified-in-dolphin-mercury-android-browsers/114392