iPhone의 Safari 등 여러 브라우저에 '어드레스바를 위장'하는 취약점이 존재

보안기업 Rapid7의 조사책임자인 토드 비어즐리 씨가 여러 모바일 브라우저에 '어드레스바를 위장'하는 취약점이 존재한다고 지적하고 있습니다.

[Vuln Disclosure] Mobile Browser Bar Spoofing Vulnerabilities
https://blog.rapid7.com/2020/10/20/vulntober-multiple-mobile-browser-address-bar-spoofing-vulnerabilities/

[Vuln Disclosure] Mobile Browser Bar Spoofing Vulnerabilities

이 취약점은 일반적인 취약점 유형 목록 Common Weakness Enumeration (CWE)에서 'CWE-451'로 지정되어 있습니다. 취약점의 존재가 지적되고 있는 모바일 브라우저로는 Safari, Opera Touch, Bolt Browser, RITS Browser 등이 거론되고 있습니다.

이 취약점은 웹페이지를 로드할 때 공격자가 브라우저의 주소표시줄을 갱신하는 타이밍을 조작하여, 팝업 알림이 웹사이트에서 보내온 것처럼 보이게 하거나 브라우저창에 부정한 콘텐츠를 렌더링할 수 있다고 합니다.

두 경우 모두에서 피해자는 '공격자가 실행 가능한 JavaScript를 게시할 수 있는 웹사이트'에 액세스해야 합니다. 즉, Facebook이나 Twitter 등의 주요 사이트를 통해 이 취약점을 이용한 공격을 받을 가능성은 없지만, 공격자가 만든 웹사이트를 통해서라면 공격을 받을 가능성이 있습니다.

비어즐리 씨는 "예를 들어 결제업체로부터 '중요한 메시지가 있으므로 이것을 클릭하십시오'라는 스팸 메일을 통해 취약점을 이용한 공격이 시작되면 주소표시줄의 정보가 변경되어 정식 PayPal의 페이지처럼 보이게 됩니다. 그 경우 공격을 당한 사람은 인증정보를 입력해 버릴 가능성이 충분히 있습니다."라고 지적합니다.

다음 그림은 '주소표시줄 스푸핑 취약점'의 개념증명을 나타낸 것. 'This is not Bing'이라고 쓰여진 가짜 웹사이트를 표시하고 있지만 주소표시줄 부분에는 Bing의 주소가 표시되어 있습니다.

모바일 브라우저는 스마트폰 앱 중에서 가장 빈번하게 사용되는 것 중 하나이며, 주소표시줄을 악의적으로 조작가능하다는 것은 사용자에게 매우 큰 혼란을 초래합니다. 비어즐리 씨는 "모바일 브라우저에 표시할 페이지와 팝업 알림의 소스를 검증하는 메커니즘이 필요합니다"라고 지적하며, 그 이유로 모바일 브라우저에서 소스를 확인하는 방법이 '주소표시줄에 표시되는 URL을 확인한다'는 것밖에 없기 때문이라고 주장합니다.

또한 모바일 브라우저에서는 보안에 대한 정보를 표시하는 영역이 매우 제한되어 있다는 것도 문제입니다. PC용 브라우저의 경우 SSL서버 인증서에 대한 정보는 주소표시줄의 아이콘으로 체크할 수 있지만, 모바일 브라우저에서는 SSL서버 인증서를 확인할 수 없습니다.

모바일 브라우저의 주소표시줄 부분은 개발자의 개입이 금지되는 영역이여서, 대부분 불가침영역처럼 되어 있습니다. 따라서 '주소표시줄 스푸핑 취약점'을 수정하려면 브라우저를 개발하는 업체들이 대응해야 하지만, 비어즐리 씨가 영향을 받는 브라우저에 취약점을 문의한 결과, Safari · Opera Touch · Bolt Browser는 취약점을 수정하고 있었습니다만, UC Browser의 개발원인 UCWeb으로부터는 현시점까지 답변을 얻지 못했다고 합니다.

또한 '주소표시줄 스푸핑 취약점'의 영향을 받는 브라우저는 모두 인기가 높은 앱으로, 가장 사용자 수가 적은 Bolt Browser조차도 21만 건 이상의 리뷰가 게시되어 있으며, App Store에서는 47위에 랭크되어 있습니다. 취약점이 수정되지 않은 상태의 UC Browser는 Google Play에서 5억 회 이상 다운로드되고 있습니다.