여러 안드로이드 개발 도구에서 발견된 취약점
OS 파일 시스템 및 프로젝트 콘텐츠 노출 가능성 높아

[보안뉴스 문가용 기자] 보안 전문 업체 체크포인트(Checkpoint)의 보안 전문가들이 안드로이드 애플리케이션 개발자 툴들에서 취약점을 발견했다. 자바 및 안드로이드 개발을 하는 기업들이라면 외부인이 시스템에 무단 접근하는 걸 경계해야 할 것으로 보인다.


여기에 해당하는 툴의 이름은 안드로이드 스튜디오(Android Studio), 인텔리제이(IntelliJ), 에클립스(Eclipse), APK툴(APKTool)이며, 대부분의 안드로이드 통합 개발 환경(IDE)에서도 이 취약점이 발견된다고 한다. 이 취약점들을 통틀어 파스드로이드(ParseDroid)라고 체크포인트는 명명했다. 상세 보고서는 이 링크(https://media.scmagazine.com/documents/325/parsedroid_81045.pdf)를 통해 열람이 가능하다(영문).

체크포인트의 보안 전문가들에 의하면 “공격자들은 마음만 먹으면 안드로이드 환경에서의 개발 과정에 얼마든지 개입할 수 있”으며, “APK툴을 활용한 오픈소스 툴들이 풍부하게 있기 때문에 파스드로이드는 얼른 바로잡아야 할 취약점”이라고 한다.

“APK툴을 분석해본 결과 소스코드에서 XML 외부 개체(XXE) 취약점이 있다는 걸 발견했습니다. 프로그램 내에서 XML 파일을 분석(parse) 할 때, 설정된 XML 분석기(parser)가 외부 개체 레퍼런스를 비활성화 시키는 데에서 비롯된 취약점입니다.”

취약점이 존재하는 함수는 loadDocument다. APK툴의 Build와 Decompile이라는 핵심 명령에 사용된다. 이 취약점을 악용하면 APK툴 사용자의 전체 OS 파일 시스템이 노출되며, 공격자들이 악성 AndroidManifest.xml 파일을 사용하여 아무 파일이나 가져올 수 있게 된다. AndroidManifest.xml은 XXE 취약점을 익스플로잇하는 기능을 가지고 있다.

이번 취약점을 발견하고 보고서를 작성한 에란 바크닌(Eran Vaknin), 갈 엘바즈(Gal Elbaz), 알론 복시너(Alon Boxiner), 오데드 바누누(Oded Vanunu)는 “XXE 취약점을 익스플로잇 하는 방법은 공격자들 사이에 널리 퍼져 있다”며 “파스드로이드 역시 다양한 방법으로 공략이 가능할 것으로 보인다”고 밝혔다.

한편 안드로이드 IDE에 대해서 체크포인트는 “공공 리포지터리에 악성 라이브러리를 만들어 업로드해야만 공격이 성립할 수 있는데, 이건 체크포인트 자체적으로도 어렵지 않게 실행한 바 있다”고 말한다. “또 다른 방법은 개발자를 표적으로 삼고, 개발자 개인에게 악성 라이브러리를 전송해 다운로드 받도록 유도하는 겁니다.”

비슷하게는, 개발자들이 자주 드나드는 공공 리포지토리에 악성 AAR(안드로이드 아카이브 라이브러리)을 올려 개발자가 다운로드 받도록 하는 것도 가능하다. 이 AAR을 안드로이드 스튜디오 프로젝트로 임포트하는 순간 악성 페이로드가 실행되며 프로젝트의 콘텐츠가 전부 공격자의 서버로 전송된다.

이러한 취약점들 및 공격 가능성은 구글, 인텔리제이를 개발한 젯브레인스(Jetbrains), 에클립스, APK툴 개발자에게 모두 전송된 상태다. 에클립스 개발자를 제외한 나머지는 패치를 개발해 배포하기 시작했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>