샤오미 브라우저, 주소 위장 취약점

CVE-2019-10875

Xiaomi의 브라우저에서 URL spoofing 취약점이 발견됐다. 즉 주소 바에서 악성 사이트 주소를 합법적인 사이트처럼 표시되게 할 수 있다. 최신 버전의 MI 브라우저(v10.5.6-g)와 Mint 브라우저(v1.5.3)에서 확인됐다. 미 브라우저는 샤오미 스마트폰에 사전 설치된 것이고, 민트 브라우저는 구글 플레이에서 다운로드할 수 있다.

취약점은 address bar의 오류에 있다. '?q=' 파라미터가 추가된 주소를 제대로 표시하지 못하는 것이다. 예를 들어, phishing.com/?q=facebook.com 이라는 주소를 그냥 facebook.com 이라고 보여주는 것이다.

너무 간단하게 악용할 수 있기 때문에, 피싱에 이용될 가능성이 높다. 물론 단순한 표시상의 오류이기 때문에, SSL 인증서의 주소(위의 예에서는 phishing.com이다)와 주소 바에 표시된 주소를 비교해 보면, 조작된 사실을 알아차릴 수 있다. 그러나 잠시만 부주의하면 속을 수 있다.

특이한 점은, 내수용 버전 즉 중국어 판은 이 결함이 없다는 것이다. 오직 글로벌 버전만 취약하다. 그리고 샤오미 측도 이 결함을 인정하여, 발견자에게 버그 바운티를 지급했지만, 패치는 하지 않고 있다.


관련 자료

참고 자료

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다