QRLJacking - 퀵 로그인 시스템 기반의 QR 코드 하이잭 테크닉

QRLJacking - 퀵 로그인 시스템 기반의 QR 코드 하이잭 테크닉

QRLJacking — Hacking Technique to Hijack QR Code Based Quick Login System

WeChat, Line, WhatsApp의 데스크탑 앱에 가장 빠르게 로그인 하는 방법은 무엇일까요?

바로 QR 코드 기반의 승인 시스템인 SQRL(Secure Quick Response Login)을 사용하는 것입니다. 이 방법은 사용자가 계정이나 패스워드를 애써 기억하고 있거나, 입력하지 않아도 빠르게 사이트에 로그인 할 수 있도록 도와 줍니다.

QR 코드는 공유 키나 세션 쿠키와 같은 엄청난 양의 정보를 포함한 2차원의 바코드입니다. QR 코드 기반의 승인 시스템을 사용하는 웹사이트들은 컴퓨터 스크린에 QR 코드를 표시해, 누구나 이를 모바일 폰 앱으로 스캔해서 로그인할 수 있습니다.

사용자가 QR코드를 스캔하면, 계정명이나 패스워드를 입력하지 않아도 해당 사이트에서 쉽게 로그인할 수 있습니다. 그동안 패스워드는 키로거, 중간자 공격(MITM)이나 브루트포스 등을 통해 유출될 수 있는 위협이 있어왔습니다. 반면 QR 코드는 다른 누군가에게 공개되지 않는 랜덤한 시크릿 코드를 생성한다는 점에서 안전한 것으로 간주되어 왔습니다. 그러나 공격자가 한번 해킹하겠다고 마음먹는다면, 어떠한 기술도 완벽하게 안전할 수는 없을 것입니다.

QRLJacking: QR 코드 기반의 로그인 시스템 하이재킹

이집트 Seekurity Inc.의 정보 보안 연구원이자 사이버 보안 고문관인 Mohanmed Abdelbasset Elnouby는 “QR 코드 로그인”을 사용하는 서비스의 계정을 해킹하는데 사용할 수 있는 새로운 세션 하이재킹 기술의 PoC를 생각해냈습니다.

QRLJacking이라 불리는 이 기술은 QR 코드를 이용한 로그인 기능이 적용된 모든 어플리케이션에 영향을 미칩니다. 이는 간단하지만 아주 위험한 공격 벡터입니다.

공격자는 사용자가 공격자의 QR 코드를 스캔하도록 속일 수 있습니다.

 

<이미지 출처 : http://thehackernews.com/2016/07/qrljacking-hacking-qr-code.html>

공격 방식은 아래와 같습니다:

1. 공격자가 클라이언트 쪽의 QR 세션을 초기화한 후, 로그인 QR 코드를 피싱 페이지로 연결되도록 복제한다.

2. 이 후 공격자는 피해자에게 피싱 페이지를 보낸다.

3. 피해자가 피싱 페이지에 걸려 들었을 경우, 특정 타겟의 모바일 앱으로 QR코드를 스캔한다.

4. 해당 모바일 앱은 타겟 서비스로 시크릿 토큰을 보내 승인 프로세스를 완료한다.

5. 그 결과, 클라이언트 쪽의 QR 세션을 초기화한 공격자는 피해자 계정의 제어 권한을 얻는다.

6. 이후 서비스는 공격자의 브라우저 세션과 피해자의 데이터를 교환하기 시작한다.

따라서, 성공적인 QRLJacking 공격을 실행하기 위해서 공격자가 필요한 것은 아래와 같습니다.

QR 코드 리프레싱 스크립트

잘 만들어진 피싱 웹 페이지

비디오 시연: QRLJacking을 이용한 Whatsapp 계정 해킹

▶ 동영상 보기

공격자는 성공적인 QRLJacking 공격을 위해 정기적으로 expirable QR 코드들을 복제해 그들이 제작한 피싱 웹사이트에 표시된 QR 코드들을 갱신합니다. 잘 시행되고 있는 QR 로그인 프로세스는 일정한 시간 간격을 두고 QR 코드들을 만료시키기 때문입니다.

또한 취약한 QR코드 기반의 로그인 서비스에서 전체 계정을 탈취하고, 피해자의 정확한 현재 GPS 위치, 기기 IMEI 번호, SIM 카드 데이터 및 클라이언트 앱이 로그인 시 전달하는 다른 민감 데이터 등의 정보들을 얻을 수 있게 됩니다.

더욱 자세한 정보를 원하시면, OWASP와 Github을 참고해주시기 바랍니다.

출처 :

http://thehackernews.com/2016/07/qrljacking-hacking-qr-code.html