Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향1억 명의 사용자가 있는 안드로이드 채팅 앱, 개인 메시지 노출
작성일 2020-11-20 조회 52

1 억 건 이상의 다운로드를 기록한 안드로이드 인스턴트 메시징 어플리케이션인 GO SMS Pro는 사용자들 간에 공유된 개인 멀티미디어 파일을 노출하고 있다.

 

3개월 전 Trustwave 보안 연구원이 발견한 앱의 취약점을 악용해 인증되지 않은 공격자는 GO SMS Pro 사용자가 공유한 개인 음성 메시지, 동영상, 사진 등에 접근할 수 있다.

 

 

 

비공개로 공유된 미디어가 노출되는 방법

 

사용자의 단말기에 앱이 설치되지 않은 연락처로 보내는 개인 미디어 파일은 모든 공유 파일을 저장하는 데 사용하는 CDN(콘텐츠 배달 네트워크) 서버 GO SMS Pro로 리디렉션하는 단축 URL을 사용하여 앱의 서버에서 액세스할 수 있다.

 

앱이 설치되지 않은 이용자에게 보내는 개인 미디어 파일은 모든 공유 파일을 저장하는데 사용되는 GO SMS Pro의 CDN(Content Delivery Network) 서버로 전달되는데, 이때 사용된 단축 URL을 통해 앱의 서버로 액세스할 수 있다.

 

이렇게 단축된 URL은 파일이 사용자 간에 공유되고 미디어가 CDN 서버에 저장될 때마다 16진수 카운터를 사용하여 순차적으로 생성된다.

 

이렇게 하면 공유된 URL을 전혀 몰라도 앱 사용자들이 공유하는 모든 개인 파일을 누구나 쉽게 살펴볼 수 있다.

 

 

GO SMS Pro 링크

[그림1. 단축 URL이 전송된 메시지]

 

 

BleepingComputer는 약 20개의 단축 링크를 통해 사용자들의 자동차 사진, 페이스북 게시물의 스크린샷, 누드 사진, 비디오, 오디오 녹음, 그리고 심지어 중요한 문서들의 사진들을 발견했다.

 

Trustwave 연구원은 이 취약한 앱을 이용해 공유한 사진과 동영상으로 연결되는 주소 목록을 생성하는 스크립트를 만드는 것은 간단하다고 말했다.

 

이들은 "생성된 URL을 Chrome이나 Firefox의 멀티탭 확장 프로그램에 붙여 넣으면 해당 앱 사용자가 보낸 비공개 미디어 파일에 액세스하는 것은 간단한 일"이라고 설명했다.

 

 

 

개발자의 침묵

 

Trustwave는 8월 18일을 처음으로 총 3건의 이메일을 보냈지만 앱 개발자로부터 아무런 회신을 받지 못했고, 결국 첫 이메일을 보낸지 90일 만에 해당 취약점을 공개했다.

 

BleepingCompute 또한, 앱의 플레이스토어 페이지에 있는 이메일 연락처로 개발팀에 연락해봤지만 회신을 받지 못했으며 설상가상으로, 개발자의 메일함이 가득 차거나 너무 많은 메시지를 받아 이메일이 반송되었다는 경고를 받았다.

 

 

[그림2. 개발자의 메일함이 가득 차서 이메일이 반송됨]

 

 

개발자의 웹사이트는 현재 이용이 불가능하며, 해당 웹 사이트에 접근하려는 고객들은 사이트 내용 대신 Tengine 웹서버 설치 성공 메시지를 볼 수 있다.

 

 

출처
https://www.bleepingcomputer.com/news/security/android-chat-app-with-100-million-installs-exposes-private-messages/

첨부파일 첨부파일이 없습니다.
태그 정보 유출   취약한 단축 UR  GO SMS Pro