모바일 / 보안 / 브라우저 / 안드로이드

안드로이드 기본 브라우저, 보안 취약점에 노출

Lucian Constantin | IDG News Service 2014.09.17
안드로이드 4.4 이전 버전에 탑재된 기본 브라우저에서 중요 보안 메커니즘을 우회하여 다른 사이트에서의 사용자 인증 세션을 제어할 수 있는 취약점이 발견됐다.

발견된 취약점은 ‘크로스 사이트 스크립팅(cross-site scripting, XSS)’ 결함으로, 브라우저가 널(null) 바이트 문자라 포함된 스트링이 포함된 자바 스크립트를 처리하는 방식에서 발생한다. 한 사이트 컨텍스트 안에서 작동하는 스크립트가 다른 웹사이트 내의 스크립트와 상호작용하는 것을 방지하는 보안 제어인 ‘동일-출처 정책(same origin policy)’이 무력화된다.

메타스플로잇 프레임워크(Metasploit Framework)의 기술 책임자 토드 비어즐리는 “이 말은 스패머나 스파이가 만든 임의의 웹사이트가 다른 웹 페이지의 콘텐츠 내부를 엿볼 수 있다는 것을 의미한다”고 설명했다. 이어 “메일 등의 링크를 클릭해 공격자의 사이트를 방문할 경우, 이 공격자는 사용자의 세션 쿠키 복사본을 만들고, 세션 하이재킹 공격을 가할 수 있다. 또한, 사용자가 읽고 쓰는 웹메일의 내용을 몰래 훔쳐볼 수 있게 된다”고 덧붙였다.

독립 보안 연구원 라파리 발로치가 이 취약점을 처음 발견했으며, 지난 8월 31일 자신의 블로그에 이 보안 취약점의 개념 증명에 대한 글을 게시했다. 그러나 메타스플로잇 팀이 감염된 페이지를 열어 본 사용자의 인증 쿠키를 훔치는 데 이용할 수 있는 모듈을 개발할 때까지도 이 취약점은 주목 받지 못했다.

로드 비어즐리는 “이 취약점을 파악하기 위한 연구와 실험이 계속 진행 중이다”며, “이 취약점이 해결된 정확한 시기를 밝히고, 이 취약점이 얼마나 퍼졌는지를 알아내고자 한다. 어찌됐든, 안드로이드 4.4 이하 버전이 탑재된 기기는 전체 안드로이드의 75%를 차지하고 있다”고 말했다.

취약점에 감염됐다고 판단되는 사용자라면, 크로스사이트 스크립팅에 노출되지 않은 크롬, 파이어폭스, 돌핀 브라우저, 오페라와 같은 다른 웹브라우저를 설치하는 것이 좋다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.