2019-08-21 23:28 (수)
해커, 프랑스 정부관계자만 접근할 수 있는 보안 메신저 앱 해킹 성공
상태바
해커, 프랑스 정부관계자만 접근할 수 있는 보안 메신저 앱 해킹 성공
  • hsk 기자
  • 승인 2019.04.23 13:00
이 기사를 공유합니다

andr-1.jpg
한 화이트햇 해커가 프랑스 정부가 새로 런칭한 보안 메신저 앱에 액세스할 수 있는 방법을 찾았다. 원래 이 앱에는 정부 당국과 관련된 이메일 계정을 가진 관리 및 정치인들만 접근할 수 있다.

‘Tchap’이라고 불리는 end-to-end 암호화된 오픈소스 메시징 앱은 외국 정부 기관의 통신 스파이 행위를 우려해, 프랑스 정부가 공무원, 국회의원 및 장관들이 프랑스 국내 서버에 데이터를 보관할 수 있도록 만든 것이다.

해당 앱은 엔드 투 엔드 암호화 통신을 위해 자체 호스팅 가능한 메트릭스 프로토콜을 구현하는 오픈소스 인스턴트 메시징 소프트웨어인 Riot 클라이언트를 사용해 만들어졌다.

바로 이번주 초에 알려지지 않은 해커가 서버에 침투해, 프로젝트 서명자가 패키지 서명에 사용한 암호화되지 않은 비공개 메시지, 패스워드 해시, 접근 토큰과 GPG 키를 성공적으로 훔쳤다는 그 ‘Riot and Matrix’이다.

메트릭스를 타깃으로 하는 사이버 공격은 너무 심각해 관리자는 몇 시간 동안 서비스 전체 인프라를 종료하고 모든 사용자를 Matrix.org에서 로그아웃 해야 했다.

Tchap 앱은 구글 플레이 스토어에서 누구나 다운로드할 수 있지만 정부 발급 이메일 계정을 가진 사용자만 가입 및 접근할 수 있다. 그러나 Robert Baptiste는 공식 이메일 주소가 없어도 누구나 Tchap 앱에 액세스, 그룹 및 채널을 사용해 계정을 등록할 수 있는 취약점을 발견했다.

그는 블로그 게시물에서 Tchap의 안드로이드 앱에서 잠재적 이메일 유효성 검사 버그를 익스플로잇해 이메일 ID를 사용하여 서비스로 계정을 만들 수 있는 방법에 대해 시연했다. “나는 이메일을 fs0c131y@protonmail.com@presidence@elysee.fr로 수정했다. 그 후 Tchap으로부터 이메일을 받았고 계정을 인증할 수 있었다. 또한 Ely-see직원으로 기록되어 공개 방을 사용할 수 있었다.”고 설명했다.

Robert는 이 연구 결과를 Matrix 측에 신속히 전달했고, Matrix팀은 해당 문제를 해결하기 위한 패치를 배포했다.


[의료기관 컨퍼런스 안내]
국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2019
-MPIS 2019 사전등록:
http://conf.dailysecu.com/conference/mpis/2019.html
-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

★정보보안 대표 미디어 데일리시큐!★