HAURI

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

보안매체 기사

웹 애플리케이션 통해 브라우저 플러그인 공략 가능하다
등록일 :
2019.01.22
원래는 서로 별개의 프로세스에서 실행되는 웹 앱과 플러그인
웹 앱 통해 플러그인 익스플로잇 하면 민감한 정보에 접근 가능


[보안뉴스 문가용 기자] 웹 애플리케이션으로 브라우저 플러그인을 익스플로잇 해서 민감한 사용자 정보를 훔쳐내는 게 가능하다고 한 보안 전문가가 발표했다. 웹 애플리케이션들은 동일 출처 정책(Same Origin Policy, SOP)에 묶여있기 때문에 다른 웹 애플리케이션들의 데이터에 접근하는 게 원칙적으로는 불가능하다. 교차출처 자원공유(Cross-Origin Resource Sharing, CORS)를 통해서만 데이터 상호 교환이 성립된다.

[이미지 = iclickart]


그렇다 하더라도 브라우저 플러그인은 전혀 별개의 것이라, 플러그인을 통해 웹 애플리케이션의 데이터를 읽거나 쓸 수 없게 되어 있다. 다만 브라우저도 애플리케이션과 마찬가지로 사용자의 각종 민감한 정보(히스토리, 즐겨찾기, 크리덴셜, 쿠키, 설치된 플러그인의 목록 등)에 접근할 수 있고, 파일들을 다운로드 받아 사용자의 장비에 저장하는 게 가능하다.

브라우저 플러그인과 웹 애플리케이션은 별개의 컨텍스트에서 실행된다. 그러나 메시지들을 교환함으로써 서로 만날 수 있다. 이는 브라우저와 상관없이 일어날 수 있는 일이다. “플러그인과 애플리케이션의 상호작용이 가능하기 때문에 웹 애플리케이션을 통해 플러그인이 가지고 있는 권한을 익스플로잇 하고 민감한 정보를 훔칠 수 있게 되는 것”이라고 보안 전문가 돌리에르 프란시스 소메(Dolière Francis Somé)는 설명한다.

소메는 크롬, 파이어폭스, 오페라 등에서 웹 애플리케이션에 노출되어 있는 브라우저의 통신 인터페이스를 분석했다. 그 결과 익스플로잇이 가능하다는 걸 발견할 수 있었다고 한다. “플러그인의 API를 통해 웹 애플리케이션들은 동일 출처 정책을 우회하고 다른 웹 애플리케이션의 사용자 데이터에 접근할 수 있었습니다. 즉 브라우저 플러그인과 웹 애플리케이션 사이의 통신이 큰 위협이 될 수 있음을 밝혀냈습니다.”

브라우저와 웹 애플리케이션 사이의 수상한 트래픽을 탐지하기 위해 정적 분석 도구를 사용함으로써 소메는 총 78315개의 플러그인을 분석했고, 그 결과 3996개의 잠재적 악성 플러그인을 크롬, 파이어폭스, 오페라에서 발견할 수 있었다. 그 후 이어진 수동 분석을 통해 197개의 고유 플러그인(크롬 171개, 파이어폭스 16개, 오페라 10개)이 웹 애플리케이션의 익스플로잇에 당할 수 있다는 것을 추가로 찾아냈다.

문제가 있을 수 있다고 판단된 플러그인들의 경우, 익스플로잇이 된다면 웹 앱을 통해 공격자가 임의의 코드를 ‘플러그인의 컨텍스트로’ 실행할 수 있게 된다. 즉 플러그인과 같은 권한을 가지고, 동일 출처 정책이 무시되며, 사용자 정보에 접근, 저장, 탈취가 가능하다는 뜻이다. 뿐만 아니라 임의 파일을 다운로드 해 사용자 장비에 저장할 수도 있게 된다.

물론 브라우저 플러그인의 55%가 1000명 이하의 사용자를 보유하고 있지만, 나머지 45%의 플러그인들은 수천~수만의 다운로드 횟수를 기록하고 있다. 생산성과 관련된 플러그인의 경우 가장 많은 사용자를 가지고 있고, 소셜 및 커뮤니테이션 목적의 플러그인이 그 다음으로 많은 것으로 나타났다. 재미나 엔터테인먼트 플러그인, 접근성 플러그인, 개발자 툴 등이 순서대로 뒤를 이었다.

소메는 웹 애플리케이션을 통해 브라우저 플러그인을 익스플로잇 할 수 있다는 연구 결과를 각 브라우저 제조사들에게 2018년 10월에 알렸다. 브라우저 제조사들은 전부 답장을 보냈으며, 해당 내용을 확인했다고 알려왔다. 파이어폭스는 문제가 될 만한다고 알려진 플러그인을 전부 삭제했고, 오페라는 10개중 8개를 없애버렸다. 크롬 개발사인 구글은 소메와 함께 작업을 진행 중에 있다.

소메는 “이번 건만이 아니더라도 브라우저 제조사들은 자신들이 조성한 환경에 들어오는 플러그인들에 대해 보다 꼼꼼하게 점검할 필요가 있어 보인다”고 결론을 내린다. “특히 메시지를 주고받게 하는 통신 인터페이스를 주의 깊게 살펴야 합니다. 정적 분석 도구가 있으면 이러한 문제를 점검하는 데 있어 도움을 받을 수 있지 않을까 제안합니다.”

해당 내용에 대한 상세 보고서는 여기(https://www-sop.inria.fr/members/Doliere.Some/papers/empoweb.pdf)서 열람이 가능하다.

3줄 요약
1. 웹 애플리케이션과 브라우저 플러그인, 원래는 따로따로 놀아야 정상.
2. 그런데 메시지 교환을 통해 살짝 만나는 부분이 있고, 이를 통해 익스플로잇이 가능함.
3. 웹 애플리케이션을 통해 플러그인의 권한을 가져가고, 사용자 데이터에 접근 가능.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top