10억개 이상의 모바일 앱 계정을 원격으로 하이잭할 수 있는 간단한 방법

10억개 이상의 모바일 앱 계정을 원격으로 하이잭할 수 있는 간단한 방법

Over 1 Billion Mobile App Accounts can be Hijacked Remotely with this Simple Hack

최근 보안 연구원들이 사용자 몰래 사용자의 모바일 앱 계정으로 로그인할 수 있는 공격 방법을 발견하였습니다. 

이 공격 방법은 안드로이드와 iOS 앱을 공격 대상으로 하며, OAuth2.0을 안전하게 구현하지 않아 발생하는 문제점인 것으로 확인되었습니다.  OAuth 2.0이란 어플리케이션에서 권한인증을 수행할 수 있는 Open API로, 현재 각종 유명한 앱에서 사용되고 있습니다. 

이번에 발견된 공격 방법은 SSO 서비스를 지원하지만 안전하지 않게 구현된 OAuth 2.0을 통해 이루어집니다. 이를 악용하면 사용자의 추가 계정이나 패스워드 없이도 사용자가 이용하는 서비스들에 로그인할 수 있습니다.

사용자가 OAuth를 통해 써드파티앱으로 로그인을 진행하면, 앱은 ID 제공자와 인증정보가 올바른지 확인합니다. 정보가 올바를 경우, OAuth는 이후 해당 모바일 앱의 서버로 접근할 수 있는 'access token'을 페이스북으로부터 수령하게 됩니다. 

해당 access token이 발행되면, 해당 앱의 서버는 사용자의 인증정보를 페이스북에 확인을 요청한 후 로그인을 허용합니다.

올바른 방법

이미지 출처 : http://thehackernews.com/2016/11/android-oauth-hacking.html

하지만 다수의 앱이 ID제공자로부터 수령한 정보의 유효성을 제대로 확인하지 않고 있습니다.

다수 앱들은 사용자와 ID제공자가 연결되었음을 입증하는 OAuth정보를 확인하는 대신, ID제공자로부터 수령한 사용자의 ID만을 체크하도록 개발되어 있습니다. 이에 공격자가 서버를 셋팅하여 OAuth가 제대로 구현되지 않은 앱들을 다운로드 받아 사용자의 계정정보로 로그인 한 뒤, 계정명을 사용자의 것으로 바꿔치기할 수 있게 됩니다.

잘못된 방법

이미지 출처 : http://thehackernews.com/2016/11/android-oauth-hacking.html

이런 과정을 통해 공격자들은 OAuth가 제대로 구현되지 않은 앱 내의 데이터를 모니터링하고 제어할 수 있게 됩니다.

OAuth기반의 로그인을 사용하는 사용자 수를 고려했을 때, 약 10억개의 모바일앱 계정들이 해당 공격 위험에 노출되었을 것으로 추정됩니다. 연구원들은 현재까지 아이폰에서 익스플로잇을 테스트하지는 않았지만, iOS의 앱에서도 동작될 것이라고 예측하고 있습니다.

관련하여 자세한 내용은 Black Hat Europe에서 발표된 <Signing into One Billion Mobile App Accounts Effortlessly with OAuth 2.0>에서 확인하실 수 있습니다. 

참고 : 

http://thehackernews.com/2016/11/android-oauth-hacking.html