Gmail 계정 탈취 취약점 발견!
Gmail Account Hijacking Vulnerability
최근 Gmail에서 매우 위험한 취약점이 발견되었습니다. 해당 취약점을 이용하면 공격자는 손쉽게 Gmail 계정을 탈취할 수 있습니다.
Gmail은 이메일 포워딩 서비스를 제공하고 있습니다. 이 기능은 여러 개의 이메일 주소를 사용자 자신들의 Gmail로 연결하거나, 받은 이메일을 미리 지정해 놓은 주소로 포워딩할 수 있도록 돕는 서비스입니다. 하지만 이런 두 모듈은 인증우회공격에 취약하며, 공격자가 기존에 설정된 이메일의 권한을 이용하여 사용자의 Email을 탈취하고 또 발송할 수 있습니다.
이번에 발견된 취약점은 google의 Gmail 계정이 다른 이메일 계정과 연동하는 방식과 관련된 것입니다. Google이 해당 기능에 대해 수정하기 전까지 공격자는 매우 손쉽게 Gmail 계정을 탈취할 수 있게 됩니다. 만약 공격자가 특정 사용자의 Gmail과 연동된 다른 이메일 계정을 알고 있다면, 특정 수신인이 발송한 인증 이메일을 통하여 바로 Gmail 계정을 탈취할 수 있습니다.
기술 내용
해당 취약점은 Gmail의 "Account and Import " > " Send Mail As " 두 포워딩 모듈에 존재합니다.
이 논리적 취약점으로 인해 공격자는 Gmail 내 이메일 주소를 탈취할 수 있습니다. Gmail의 SMTP와 관련되거나 연결된 모든 이메일 주소들은 모두 이와 같은 위험성에 노출되어 있으며, @gmail.com, @googlemail.com 및 Googleemail.com 등도 포함됩니다. Gmail은 이메일의 발송성공과 상관없이 이메일 발송에 대한 결과를 알려줍니다. 만약 우리가 발송한 이메일 주소가 존재하지 않거나, 오프라인 상태일 때 Gmail은 "전송불가" 알림을 제공하며 전송 실패의 원인도 알려줍니다.
관련하여 다음과 같은 상황에서 이메일 주소가 탈취될 수 있습니다.
1) 수신자의 SMTP가 오프라인 상태일 때
2) 수신자가 설정한 이메일 사용을 중지했을 떄
3) 수신자가 존재하지 않을 떄
4) 수신자는 존재하지만, 발신자를 수신거부 목록에 추가했을 때
다음과 같은 경우 수신자는 어떠한 이메일도 받을 수 없고, 이메일에서는 발송실패 알림을 수신자에게 전달합니다. 이 발송실패 알림에는 발송실패 이유와 함께 Verification Code 와 Activation Link가 포함됩니다. 공격자는 이 인증코드를 이용하여 유효성과 이메일 주소의 소유권을 확인할 수 있으며, 이는 인증의 최초 의도와는 전혀 다르게 악용되는 것입니다. 이러한 과정은 이메일을 포워딩하는 모듈에도 적용할 수 있습니다. 즉 모든 과정에서 공격자가 발송실패 알림을 띄울 수 있게 됩니다.
상세한 공격 과정은 다음과 같습니다.
공격자가 Google로 이메일을 발송하여 어떠한 이메일 계정의 소유권을 획득하고자 시도합니다. Google은 특정 이메일 주소로 인증 이메일을 발송하여 인증을 시도합니다. 하지만 해당 이메일 주소는 이메일을 받을 수 없는 상태이기 때문에 Google은 이메일 발송자(공격자)에게 발송실패 이메일을 전송합니다. 이 때 발송실패 이메일에는 인증코드가 포함되어 있습니다. 공격자는 이 인증코드를 이용하여 해당 계정의 소유권을 획득할 수 있습니다.
전체 공격과정을 정리하면 다음과 같습니다.
1) 공격자가 xyz@gmail.com의 소유권을 탈취하고자 합니다.
2) Google은 xyz@gmail.com에 이메일을 발송하여 인증을 시도합니다.
3) xyz@gmail.com은 이메일을 받을 수 없는 상태기 때문에 Google에 발송실패 상태를 전달합니다.
4) Google은 공격자에게 인증코드가 포함된 실패 메일을 전송합니다.
5) 공격자는 인증번호를 획득하여 xyz@gmail.com의 소유권을 획득할 수 있게 됩니다.
공격자는 이렇게 탈취한 계정을 통해 스팸메일 발송이나 모니터링 등 악의적인 행위를 할 수 있게 됩니다.
참고 :
http://blog.securityfuse.com/2016/11/gmail-account-hijacking-vulnerability.html
단 한 대의 컴퓨터로 거대한 서버들을 다운시킬 수 있는 BlackNurse 공격 발견 (0) | 2016.11.15 |
---|---|
OpenSSL, “높은’ 위험도의 취약점을 수정하는 패치 공개돼 (0) | 2016.11.14 |
텔레그램 프로토콜 악용한 첫 번째 암호화 악성코드 발견 (0) | 2016.11.11 |
D-Link 라우터에서 CVE-2016-6563 RCE 취약점 발견, 원격 관리자 비활성화 필요 (0) | 2016.11.10 |
Amazon 사칭하는 피싱메일 발견... ‘계정 검증’이라는 제목으로 확산돼 (0) | 2016.11.09 |
댓글 영역