개발자 데이비드 폴(David Poll)이 안드로이드를 위한 페이스북 SDK에서 취약점을 발견했다. 스마트폰 소유자의 페이스북 계정에 무단으로 접근할 수 있는 취약점이다.
 
SDK는 사용자의 페이스북 프로필을 읽거나 담벼락에 사진을 게시할 때 사용하는 애플리케이션으로 이것은 사용자로부터 추가적 권한이 요구된다.
 
일단 이러한 요구가 획득되면 이 앱은 페이스북 서버로부터 액세스 토큰을 취소될 때까지 받게 된다. 폴은 페이스북 SDK가 스마트폰에서 로그파일에 해당 토큰을 포함해 URL을 쓰는 것을 발견했다. 이 로그파일은 인스톨 동안 ‘민감한 로그 데이터를 읽기’ 위해 허가를 내주는 어떤 앱에 의해 접근할 수 있다는 점이다.
 
많은 안드로이드 유저들은 자동으로 앱이 인스톨될 때 허가 요청을 수락하게 된다. 그것은 공격자가 접근권한을 획득할 수 있는 방법으로 사용될 수 있다는 것이다. 공격자는 훔친 접근토큰을 사용해 특수제작된 앱은 모든 권한을 얻을 수 있는 합법적 토큰을 획득할 수 있는 것이다.
 
폴은 페이스북에 이와 같은 취약점에 대해 2월 중에 통보한 상태다. 페이스북은 SDK로부터 생성되는 로그파일에 대해 반응하는 코드라인을 신속하게 제거했다. 하지만 이 문제가 완전히 제거됐다고 볼 수는 없다. 왜냐면 앱 개발자들은 그들이 제작한 앱 내부의 페이스북 SDK의 취약한 버전을 일괄적으로 업데이트할 수 없는 상황이다. 접근 토큰의 공개로부터 앱을 보호하기 위해서 모든 개발자들은 개인적으로 SDK의 안전한 버전으로 그들이 제작한 앱들을 업데이트 해야 한다.
 
폴은 공격자들이 이 취약점을 이용해 공격 코드를 제작할 것이라고 경고하고 앱 제작자들의 주의를 당부했다.   
 
<참고사이트>
-www.h-online.com/security/news/item
[데일리시큐=길민권 기자]