모든 개인 페이스북 메신저 채팅을 읽는 버그 발견 및 해결

꿈을꾸는 파랑새

페이스북이라면 아마도 사용자가 자신의 페이지를 꾸미는 SNS와는 달리 페이스북은 전부 프로필 형태가 같고 이래서 개성을 표현할 수가 없다는 평도 있겠지만 그래도 편리하고 깔끔해서 사용하고 사진 관리와 노트 등의 부가기능이 좋아서 그래서 세계적으로 인기가 있는 SNS가 아닐까 생각이 됩니다. 그리고 한편으로는 다른 SNS처럼 사생활 침해 문제, 개인정보 유출 문제, 보안 문제, 사칭 계정, 감정조작 등의 문제가 발생하고 있습니다.

최근 Ysrael Gult에서 일하는 보안 연구원 Bugsec과 Cynet낸 보고에 따르며 공격자가 cross-origin bypass-attack를 이용하며 비공개 메세지,페이북 채팅에 전송하는 사진뿐만 아니라 첨부파일에 접근할 수가 있다고 합니다. 즉 해당 취약점을 악용하면 공격자가 피해자를 속여 악의적으로 제작된 웹사이트로 방문하게 할 수가 있다는 것입니다. 즉 JavaScript와 서버 간의 통신은 XHR을 통해서 이루어지면 Javascript 5-edge-chat.facebook.com에 도착한 데이터에 접근하면 Facebook에서 Access-Control-Allow-Credentials 헤더를 사용하여 쿠키가 전송되더라도 데이터에 액세스를 할 수 있습니다

bugsec

Cynet

이렇게 되는 원인이 페이스북 채팅 서버 도메인에서 Cross-origin 헤더 구현이 잘못 구성이 돼 있어서 공격자가 외부 사이트에서 출발지 확인을 거부하고 Facebook 메시지에 접근할 수가 있다고 합니다. 그러나 비밀 대화는 페이스 북 메신저의 end-to-end 암호화 채팅은 해당 버그의 영향을 받지 않는다고 합니다. 일단 해당 버그는 해당 연구원이 Bug Bounty 프로그램을 통해 Facebook에 해당 취약점을 공개했으며 해당 Facebook 보안팀은 현재 해당 문제를 확인하고 해당 취약점에 대한 패치를 했다고 합니다.

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

  1. Favicon of https://prolite.tistory.com IT세레스 2016.12.19 02:20 신고

    패치되서 정말 다행입니다.