Signal, Duo, Facebook Messenger, JioChat, Mocha 등 5개의 유명 모바일 메시징 앱에서 사용자 동의 없이 오디오 또는 비디오를 악의적인 행위자의 기기로 몰래 전송할 수 있는 보안취약점이 발견됐다.

이번 취약점은 구글 프로젝트 제로 보안연구원이 발견해 공개한 것이다. 이를 통해 해당 취약점은 패치 된 상태다.

코드를 실행하지 않고 대상 장치가 오디오를 공격자 장치로 전송하도록 강제하는 기능은 이례적인 취약점이다.

구글 연구원은 이번 버그가 바로 수정됐지만, 호출 상태 머신의 논리 버그로 인해 심각하고 접근하기 쉬운 취약성이 발생한 것이다. 컴퓨터에도 비슷한 취약점이 있었다고 전했다.

대부분의 화상 회의 응용 프로그램은 WebRTC를 사용하지만 피어는 SDP(Session Description Protocol)에서 통화 설정 정보를 교환해 WebRTC 연결을 설정할 수 있다. 이 프로세스를 시그널링이라고 한다.

일반적인 WebRTC 연결에서 발신자는 SDP 제안을 수신 한 사람에게 전송하고 SDP 응답으로 응답한다.

메시지에는 코덱 지원, 암호화 키 등을 포함해 미디어를 송수신하는 데 필요한 대부분의 정보가 포함되어 있다.

이론적으로 오디오 또는 비디오 전송 전에 수신자 동의를 확인하는 것은 피어 연결에 트랙을 추가하기 전에 사용자가 호출을 수락 할 때까지 기다리는 것이다.

그러나 실제 애플리케이션을 살펴보면, 대부분이 수신자와의 상호 작용 없이 통화를 연결할 수 있는 취약성이 발견됐다고 밝혔다.

논리적 결함으로 인해 발신자가 수신자 장치의 오디오 또는 비디오 데이터를 전송하도록 할 수 있다는 것이다.

수신자가 호출에 응답하기 위해 애플리케이션과 상호 작용하지 않은 경우에도 데이터가 공유된다는 사실을 공개한 것이다.

★정보보안 대표 미디어 데일리시큐!★