2019-11-17 15:43 (일)
EA에서 게이머 계정 탈취 가능한 취약점 발견
상태바
EA에서 게이머 계정 탈취 가능한 취약점 발견
  • 페소아 기자
  • 승인 2019.06.29 14:57
이 기사를 공유합니다

hacker-2300772_640.jpg
게임 개발사 EA Games(Electronic Arts Inc.)는 공격자가 수백만 플레이어의 계정을 탈취하고 지불 카드 정보에 접근하여 구매를 할 수 있는 한 쌍의 취약점을 수정했다.

캘리포니아 레드 우드 시티에 본사를 둔 EA는 FIFA, Madden NFL, NBA Live, Apex Legends, 배틀필드, 니드포스피드, 심즈, 스타워즈 등 인기있는 게임들을 개발해온 회사이다.

체크포인트(Check Point)와 CyberInt의 연구원에 따르면 발견된 두가지 결함 중 첫번째 결함을 이용하여 EA Games 하위 도메인을 가로챌 수 있고, 두번째 결함인 oAuth 프로토콜을 악용할 수 있는 다른 취약점을 이용하여 유효하지 않은 리다이렉션을 만들어낼 수 있다.

하위 도메인 하이재킹은 EA Games 하위 도메인인 eaplayinvite.ea.com이 CName(Canonical Name) 레코드를 통해 클라우드 기반 서비스를 호스트했었던 구식 마이크로소프트 Azure 웹주소인 ea-invite-reg.azurewebsites.net에 연결하기 때문에 발생한다. ea-invite-reg.azurewebsites.net이 더 이상 활성화되지 않기 때문에 연구원은 자신의 개인 마이크로소프트 Azure 계정으로 웹주소를 등록할 수 있었다.

체크포인트의 연구원은 "이것으로 우리는 eaplayinvite.ea.com의 하위 도메인을 하이재킹하고 EA 사용자의 요청을 모니터링할 수 있었다."라고 블로그를 통해 설명했다. "우리가 실제 해커라면 이것은 EA의 디지털 자산을 훔쳐내기 위한 공격의 발판이 될 것이다."라고 CyberInt의 연구원은 덧붙였다.

이러한 공격을 수행하기 위해서 공격자는 ea.com과 EA의 자체 개발 오리진(Origin) 게임 플렛폼 사이트인 origins.com의 도메인과 하위 도메인 사이에 존재하는 SSO 트러스트 메커니즘을 악용하여 oAuth 프로토콜 구현을 변조해야한다. 본질적으로 공격자는 사용자가 생성한 SSO 인증토큰을 하이재킹된 하위 도메인으로 리다이렉션할 수 있었다. 이 시점에서 로그인 정보를 훔치기 위해 소셜 엔지니어링을 할 필요없이 공격자는 계정을 침투할 수 있었다.

체크포인트는 자사의 블로그 포스트에서 다음과 같이 설명했다. "answers.ea.com을 통한 EA 글로벌 서비스의 성공적인 인증 프로세스의 일부로 새로운 사용자 토큰를 얻기 위해 oAuth HTTP 요청이 accounts.ea.com으로 보내진다. 그런후 애플리케이션은 그것을 signin.ea.com을 통해 answers.ea.com이라 불리는 최종 EA 서비스로 리다이렉트 해야한다. 그러나 우리는 HTTP 요청 내의 returnURI 매개 변수를 EA의 도용된 하위 도메인 eaplayinvite.ea.com으로 수정하여 oAuth 토큰이 생성되는 EA 서비스 주소를 실제로 결정할 수 있음을 발견했다."

연구원에 따르면 EA는 취약점 공개 이후 성공적으로 패치했으며 현재는 잠재적인 위협으로부터 안전한 상태다.

★정보보안 대표 미디어 데일리시큐!★