2024-03-29 07:40 (금)
이란 해커, 페이스북 취약점 발견 후 제보해
상태바
이란 해커, 페이스북 취약점 발견 후 제보해
  • 길민권 기자
  • 승인 2017.11.29 07:31
이 기사를 공유합니다

0904-16.jpg
해외 보안 전문가가 여론조사를 교묘하게 활용해 공적인 사진이든, 개인적인 사진이든 페이스북에서 모든 사진을 삭제할 수 있는 버그를 발견했다. Pouya Darabi는 프로필 페이지에서 페이스북 사용자들이 빠른 여론 조사를 설정하기 위해 사용하는 소프트웨어를 파고들었다. 이러한 비공식 설문 조사를 만들때 소셜 미디어 사용자들은 질문과 함께 표시할 사진을 선택할 수 있고, 해당 사진들에 대한 ID 코드가 페이스북 서버에 제출된 HTML 양식에 내장된다.

Darabi는 요청 매개변수들을 보다가 ID 번호를 변경해 이미지를 첨부할 수 있다는 사실을 발견했다. 이를 통해 낯선 사람이 온라인으로 업로드한 사진을 미리 볼 수도 있고, 설문조사에 참가할 수도 있다. 또한 설문 조사를 삭제하면 첨부된 이미지가 소셜 네트워크에서 영구적으로 삭제됐다.

해당 취약점은 보이는 것처럼 간단하지는 않다. ID 번호가 사진에 대해 완전히 순차적인 적이 아니기 때문에 유효한 이미지가 나올때까지 계속해서 시도해야한다. 타깃으로 삼은 방식으로 공격을 수행하는 것은 어려울 것이지만, 일반적인 해킹 행위를 할 수 있으므로 완벽하다고 할 수 있다.

Darabi는 이 취약점을 발견하고 보고하여 1만달러의 페이스북 버그바운티 상금을 받았다. 토요일에 공개된 이 연구원의 보고서에는 페이스북이 해당 이슈를 얼마나 빠르게 처리했는지에 대한 내용이 포함되어 있었다. Darabi는 웹사이트 보안팀에 PoC 코드와 함께 해당 문제에 대해 보고했고, 12시간 내에 페이스북이 검토했고, 이틀 후 문제가 해결됐다.

페이스북이 이달 초에 설문조사 기능을 추가했기 때문에 앞으로 발견되고 처리될 다른 결함들이 더 있을 것으로 보인다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
Tag
#해커