iOS의 유명한 페이스북 사진 공유 앱인 인스타그램이 해커들에게 사용자 계정을 노출 시킬 수 있는 취약성을 가지고 있음이 밝혀졌다. 보안 연구원인 Carlos Reventlov는 지난 금요일 해커가 사용자 계정을 탈취해 제어할 수 있도록 하는 인스타그램에서의 다른 공격을 발표했다.
 
그는 “인스타그램 앱은 HTTP와 HTTPS 연결을 통해서 인스타그램 API와 통신한다. 로그인과 프로필 편집과 같은 민감한 활동들이 보안 채널을 통해 보내진다. 그러나 몇 가지 요청이 시그니처 없이 그대로 HTTP를 통해 보내지고, 그 요청들은 사용자 아이폰과 같은 LAN에 연결된 공격자에 의해서 탈취될 수 있다”고 밝혔다.
 
희생자와 같은 LAN에 있는 공격자는 간단한 ARP 스푸핑 공격을 일으켜 사용자의 아이폰이 80 포트 트래픽을 지나도록 한다. 사용자가 인스타그램 앱을 시작하면 평문 쿠키가 인스타그램 서버로 보내지고, 공격자가 한번 그 쿠키를 얻으면 그는 데이터를 얻거나 사진을 삭제하도록 하는 특별한 HTTP 요청을 보낼 수 있게 된다.
 
컴퓨터 보안 전문 업체 Secunia는 그 공격을 확인하고 권고문을 발표했다. 그 공격은 공격자의 컴퓨터로 맞춰진 희생자 폰의 웹 트래픽에 ARP(Address Resolution Protocol) 스푸핑이라고 불리는 방법을 사용한다. Reventlov는 평문 쿠키 탈취가 가능한 것이 그 때라고 말했다.
 
Reventlov는 “많은 아이폰 앱들이 그런 것에 취약하다는 것을 알고 있었지만 인스타그램처럼 높은 관심을 끄는 것은 많지 않다”라고 덧붙였다. 그는 인스타그램에 대한 취약점 보완은 어렵지 않다고 말한다. 민감한 정보를 사용하는 API 호출을 위해 HTTPS 또는 S-HTTP를 사용하는 것이다. 자세한 내용은 Reventlov 블로그를 참조하면 된다. 
 
<참고사이트>
-thehackernews.com/2012/12/iphone-instagram-users-vulnerable-to.html
 
About 강수희 객원기자



숙명여자대학교 컴퓨터과학과 정보보안동아리 SISS 소속. POC 여성해킹대회 주관. 보안분야 관심사는 웹 해킹, 암호학, 네트워크 보안. 주요 연구 분야는 암호학, 네트워크 보안. 장래 희망은 “여성 보안 전문가”
 
 
[데일리시큐 강수희 객원기자 kkangsuuu@gmail.com]