아마존(Amazon)은 5월에 사용자의 기기에 설치된 악성 애플리케이션이 민감한 정보와 카메라 녹화에 액세스할 수 있게 하는 안드로이드용 Ring 앱의 심각한 보안 문제를 패치했다.

더해커뉴스에 따르면, 안드로이드용 Ring 앱은 천만 회 이상의 다운로드를 기록했으며, 사용자가 비디오 초인종, 보안 카메라 및 경보 시스템과 같은 스마트 홈 장치에서 비디오 피드를 모니터링할 수 있는 기능을 제공한다. 아마존은 2018년에 Ring 제조사를 약 10억 달러에 인수했다고 전했다. 

애플리케이션 보안 회사 체크막스는 피해자가 악성 앱을 설치하도록 속이기 위한 공격 체인의 일부로 무기화될 수 있는 XSS(교차 사이트 스크립팅) 결함이 존재한다고 설명했다.

그런 다음 앱을 사용하여 사용자의 인증 토큰을 얻을 수 있으며, 토큰에 인코딩된 장치의 하드웨어 ID와 함께 이 정보를 엔드포인트 "ring[.]com/mobile/authorize"로 전송함으로써 세션 쿠키를 추출하는 데 사용될 수 있다.

이 쿠키를 이용해 공격자는 암호를 알 필요 없이 피해자의 계정에 로그인하고 전체 이름, 전자 메일 주소, 전화 번호, 지리 위치 정보뿐만 아니라 장치 기록 등 계정과 관련된 모든 개인 데이터에 액세스할 수 있다.

체크막스는 2022년 5월 1 일에 이 문제를 아마존에 보고한 후 5월 27일 버전 3.51.0에서 수정이 가능하다고 발표했다. 이 문제가 실제 공격에 악용되었다는 증거는 없으며, 아마존은 이 공격을 "매우 어렵다"고 특징짓고 고객 정보가 노출되지 않았다고 강조한다.

이 개발은 회사가 사용자의 액세스 토큰을 훔치기 위해 악용될 수 있었던 안드로이드용 사진 앱에 영향을 미치는 심각한 취약점을 해결하기 위해 움직인지 한 달여 만에 이루어졌다.

★정보보안 대표 미디어 데일리시큐!★