악성 SDK가 트위터,페이스북 계정에 접근
취약점 아닌 악성코드 문제
2019.11.25일 CNBC에 따르면, 일부 앱을 Twitter나 Facebook 계정으로 로그인해 사용한 경우, 제3자에게 이들 계정 정보가 유출됐을 가능성이 있다고 한다. 문제의 앱에는 Giant Square, Photofy 등이 포함됐다.문제의 앱에 트위터나 페이스북 계정으로 로그인(Login with Twitter, Login with Facebook)하는 사용자가 해당된다. 이들 앱에는 OneAudience, Mobiburn이 배포한 개발 키트(SDK)가 포함됐는데, 이 SDK가 악성코드를 포함하고 있었다.
OneAudience와 Mobiburn은 개인 정보를 팔아 돈을 버는 회사다. 이들은 자사의 SDK를 채택하는 개발자에게 돈을 주고, 이 SDK를 통해 수집한 개인 정보를 광고 회사 등에 판매한다.
트위터와 페이스북은 구글과 애플에 이 문제를 알려, 악성 SDK를 포함한 앱들을 차단하도록 했다.
탈취 내용은 연결된 앱의 권한에 달려
연결된 계정으로 어떤 앱에 로그인하는 경우, 이 앱은 사용자가 허락한 범위 내에서 그 계정의 정보에 접근할 수 있다. 그러나 원칙적으로 그 앱에 포함된 광고 등 제3자 SDK는 연결된 계정의 정보에 접근할 수 없다(SDK 격리, isolation between SDKs within an application).문제된 앱들은 이런 SDK 격리가 제대로 되지 않아, 제3자(이 사건의 경우 OneAudience와 Mobiburn)가 연결된 계정에 권한 없이 접근할 수 있었던 것이다. 한 앱에 여러 개의 SDK를 사용하는 것은 여러 가지 문제를 일으킨다(관2).
따라서 노출된 계정 정보의 범위는 사용자가 문제 앱에 허용한 정도에 따라 다르다. 대체로 user name, 이메일 주소, 사진, 트윗 등이 포함됐다.
트위터의 경우에는 access token도 포함됐다고 한다. 아마 문제 앱에서 바로 트윗을 작성할 수 있도록 하기 위해 이를 허용했을 것이다. 이 경우는 특히 위험하다. 토큰은 자격증명이기 때문에, 토큰에 접근할 수 있다는 것은 곧 계정을 완전히 탈취할 수 있다는 뜻이다. 트위터의 설명에 따르면, 확인된 사례는 없지만 계정 탈취가 가능했었다고 한다.
계정 연결이 문제
이번 사건 역시 계정 연결이 근본적인 원인이다. 2018.3월 페이스북의 대규모 개인정보 유출 사건으로 계정 연결의 위험성이 부각됐다.다른 앱에 계정 접근 권한을 허용할 경우 신중히 검토해야 하고, 더 이상 사용하지 않는 앱은 주기적으로 확인해 연결을 끊는 것이 좋다.
관련 자료
참고 자료
댓글
댓글 쓰기