2019-08-25 10:05 (일)
페이스북 웜 제작에 필요한 세부정보와 개념증명코드 공개
상태바
페이스북 웜 제작에 필요한 세부정보와 개념증명코드 공개
  • 페소아 기자
  • 승인 2018.12.24 15:27
이 기사를 공유합니다

face-5.jpg
폴란드의 한 보안연구원이 완벽한 기능의 페이스북 웜을 만드는데 사용할 수 있는 세부 정보와 개념증명코드(PoC)를 공개했다.

Lasq라는 가명으로 온라인에 접속하는 연구원은 페이스북 스팸 발송 집단이 실제 사용하고 있는 플랫폼의 취약점을 발견했다. 이 취약점은 페이스북 공유대화상자/팝업의 모바일 버전에 존재하며 데스크톱 버전은 영향이 없다. Lasq는 공격자가 iframe 요소를 통해 악용할 수 있는 클릭재킹 취약점이 모바일 공유 대화상자에 존재한다고 설명한다. Lasq 이전에 이 문제를 사용한 스팸발송 집단은 이 취약점을 이용해 사람들의 페이스북에 링크를 게시했다.

그는 아래와 같이 설명한다.

“어제 페이스북에는 매우 성가신 스팸 캠페인이 있었다. 내 많은 친구가AWS 버킷에 호스팅된 사이트로 보이는 링크를 게시했다. 그것은 재미있는 만화를 포함한 프랑스 사이트였고, 당연히 사람들은 클릭하게 된다.링크를 클릭하면 AWS 버킷에서 호스팅된 사이트가 나타나고, 제한된 콘텐츠에 접근하기 위해 16세 이상인지 여부를 확인한다. 버튼을 클릭하면 실제로 재미있는 만화와 많은 광고가 있는 페이지로 리다이렉션된다. 그러나 그동안 방금 클릭한 동일한 링크가 페이스북에 게시된다.”

Lasq는 모바일 공유 대화 상자의 X-Frame-Options보안 헤더를 무시하는 이 문제를 추적했지만 페이스북은 이를 묵과했다고 말했다. MDN 문서에 따르면 이 헤더는 사이트에서 iframe 내부에 코드가 로드되는 것을 방지하기 위해 사용되며 클릭 재킹 공격에 대한 방어수단이다. 이 문제를 보고했지만 페이스북측은 패치를 거부했다.

“보안상 문제를 확인했음에도 페이스북은 클릭 재킹을 보안 문제로 간주하기 위해서는 공격자가 어떻게든 계정 상태를 변경해야한다고 명시했다(예를 들어 보안 옵션을 비활성하거나 계정을 제거하는 등). 내 견해는 페이스북은 이 문제를 수정해야한다는 것이다. 이 기능을 이용하여 공격자는 악의적으로 사용자의 타임라인에 어떤 것을 공유하도록 속여서 악용할 수 있다. 이 기술을 더욱 정교하게 사용하는 것도 상상할 수 있다.”

그는 이 기술을 통해 위협행위자가 멀웨어 또는 피싱 사이트를 확산시키는 자기 전파 메시지를 쉽게 만들 수 있다고 주장한다.

페이스북 대변인은 “연구원의 보고서와 그가 이 작업에 투자한 시간에 감사한다. 우리는 사람들이 타사 웹사이트와 페이스북 공유를 통합할 수 있도록 모바일 소셜 플러그인/공유대화상자가 iframe화 되도록 현재 기능을 구축했다. 이 기능의 남용을 막기 위해 우리는 모든 iframe가능 플러그인 제품에 대해 클릭 재킹 탐지 시스템을 사용한다. 우리는 관찰한 신호를 기반으로 계속해서 시스템을 개선하고 있다. 이 보고서와 별도로 이번 주 초에 해당 위험을 완화하는 클릭 재킹 탐지를 개선했다”라고 밝혔다.