이 취약점이 악용될 경우 브라우저에서 접근한 모든 데이터가 외부로 유출될 수 있어 주의가 필요하다.
현재까지 알려진 바에 따르면 기본 안드로이드 브라우저는 크로스사이트스크립트(XSS) 취약점을 보유하고 있는데, 브라우저가 공백(null) 바이트 문자가 포함된 자바 스크립트를 처리하는 과정에서 SOP(Same Origin Policy)가 무력화되는 문제가 발생한다.
SOP는 월드와이드웹 컨소시엄(W3C)에서도 보안을 위해 반드시 지키도록 강조하는 규칙이다. 주된 내용은 특정 도메인에서 동작하는 스크립트는 해당 도메인에서만 동작해야 된다는 것이다.
즉, 네이버에서 동작하는 자바 스크립트는 네이버 도메인(*.naver.com)에서만 동작하도록 설계해야 한다는 의미다.
반대로 SOP가 무력화되면 특정 웹페이지에 심어둔 코드나 쿠키가 다른 웹페이지까지 영향을 미칠 수 있게 된다.
사용자가 AOSP 브라우저를 통해 공격자의 웹사이트에 접근하게 되면 그 이후에 접속하는 모든 웹사이트에 대한 정보가 그대로 공격자의 손에 들어갈 수 있게 된다. 당연히 로그인 세션값을 훔칠 수 있게되니 개인정보나 금융정보의 탈취도 가능한 상황이다.
현재 안드로이드 4.4 이상을 쓰는 사용자는 전체 안드로이드 사용자의 70%를 넘는 것으로 파악된다.
이러한 피해를 예방하기 위해서는 XSS 취약점이 해결된 구글 크롬, 오페라 등을 사용해야 한다.
삼성전자의 갤럭시 시리즈에 탑재돼 있는 순정 브라우저의 경우 AOSP를 기반으로 하고 있어 이 역시도 안전하지 않다.
댓글 쓰기