공개인증 혹은 오오스라고 하는 인증 표준을 구축하는 과정에서 생성되는 취약점 하나가 큰 문제가 될 수 있다는 지적이 나왔다. 웹사이트나 애플리케이션을 페이스북, 구글, 애플, 트위터와 같은 각종 서비스에 연결할 때 취약점이 발동된다는 뜻으로, 공격자가 익스플로잇에 성공할 경우 사용자 계정을 탈취하거나 민감한 정보를 유출시킬 수 있게 된다.
오오스는 사용자가 한 웹사이트에 접속해 '구글 계정으로 로그인', '애플 계정으로 로그인' 등의 링크를 누름으로써 로그인을 할 때 뒷단에서 작동하는 인증 장치다. 많은 사이트나 앱이 이 기능을 사용하고 있으며, 소비자들 역시 회원가입의 절차를 줄일 수 있어 환영하는 기능이라고 할 수 있다.
그런데 이 기능을 사이트에 구축할 때 CVE-2023-28131이라는 취약점이 나라탈 수 있다고 보안 업체 설트시큐리티가 취근 밝혀냈다. 하나의 코드베이스를 사용해 iOS, 안드로이드 등 각종 웹 플랫폼을 위한 네이티브 모바일 앱을 개발할 때 유용하게 사용할 수 있는 오픈소스 프레임워크인 엑스포에서 오오스를 구현할 때 이 취약점이 나타난다고 한다. 엑스포를 사용하는 온라인 서비스에 소셜미디어 계정으로 로그인 하는 사용자들이 위험할 수 있다는 뜻이다.
CVE-2023-28131은 expo.io 프레임워크의 취약성으로 인해 공격자는 소셜 로그인을 위해 "Expo AuthSession Redirect Proxy"를 구성한 애플리케이션/웹 사이트에서 계정을 탈취하고 자격 증명을 훔칠 수 있다. 이는 피해자가 악성 링크를 클릭하면 달성할 수 있다. 링크 자체는 다양한 방법(이메일, 문자 메시지, 공격자가 제어하는 웹 사이트 등)으로 피해자에게 전송될 수 있다.
오오스를 많이 사용하는 만큼 오오스에 대한 이해도 높이는게 관견이라고 생각된다.
'보안뉴스' 카테고리의 다른 글
| 네이버 전자문서와 판박이 피싱 메일... 재산세 고지서로 계정정보 탈취 시도 (0) | 2023.05.28 |
|---|---|
| 알라딘, "현재까지 5,000여개 전자책 파일 불법유통 확인" (0) | 2023.05.26 |
| 양날의 검 '챗GPT'에 베이지 않으려면 AI 보안위협 선제 대응 필요 (1) | 2023.05.18 |
| 매일 100개 이상 챗GPT 관련 악성 URL 탐지 (0) | 2023.05.14 |
| 정보탈취 악성코드 RecordBreaker (0) | 2023.05.07 |