2024-03-29 06:15 (금)
[정보보호 카드뉴스] 이번엔 아마존, 또 보안 캠 해킹?...스마트 홈 주의 
상태바
[정보보호 카드뉴스] 이번엔 아마존, 또 보안 캠 해킹?...스마트 홈 주의 
  • 길민권 기자
  • 승인 2022.08.29 14:27
이 기사를 공유합니다

보안기업 체크막스에서 스마트 홈 장치를 관리하는 아마존(amazon)의 링(Ring) 안드로이드 앱에서 치명적인 취약점을 발견했다고 전했다. 이를 통해 집에 설치된 여러 카메라의 영상 정보를 유출시킬 수 있다고 한다. 

링 앱은 딥링크(Deeplink)를 통해 다양한 기능을 사용할 수 있다. 하지만 신뢰할 수 없는 딥링크에 접근할 경우 사용자가 의도하지 않은 행위가 앱에서 수행될 수 있기 때문에 권한 검증 과정을 거쳐야 한다. 

따라서 링 앱의 딥링크는 아마존의 검증된 서브 도메인을 통해서만 사용할 수 있도록 되어있다. 이로인해 악의적으로 만들어진 딥링크를 무단으로 만들어서 사용하기는 어려웠다. 

하지만 취약점이 존재하는 특정 서브 도메인을 찾아낸 것이다. 공격자는 이를 통해 사용자에게 임의의 스크립트를 실행하도록 할 수 있다고 한다. 

먼저 공격자는 악의적인 스크립트가 삽입된 딥링크가 실행되도록 앱을 만들어 둔다. 이 앱을 사용자가 다운로드하도록 피싱이나 스미싱을 통해 유도한다. 사용자가 앱을  실행하면 계정 접근권한을 가지고 있는 세션 쿠키 값을 탈취할 수 있게 되는 것이다. 

그렇게 탈취한 세션 쿠키를 통해 비밀번호 없이 사용자 계정에 접속할 수 있게 되는 것이다. 이로 인해 공격자는 무단으로 다른 사람의 집에 설치된 스마트 홈 장치의 영상을 볼 수 있게 되는 것이다. 

이 취약점은 아마존에 보고되어 패치가 되었다고 한다. 아마존 링 앱을 사용하고 있다면 앱을 취신 버전으로 업데이트해 피해를 예방해야 한다. (정보제공=스틸리언)

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★