Kumar, 페이스북 사진 삭제 취약점 발견...현재 보안조치 완료 \r\n

\r\n

페이스북에 올린 사진을 아무나 마음대로 지울 수 있는 취약점이 발견됐다.

\r\n

\r\n

\r\n\r\n\r\n

\r\n

\r\n

지난 2일(현지시각) 씨넷이 보도한 바에 따르면 이 취약점은 인도 연구원인 Arul Kumar 씨에 의해 발견됐으며, 대부분의 웹 브라우저 버전은 물론 모바일기기에서도 구현되어 그 위험성이 컸던 것으로 드러났다.

\r\n

\r\n

Kumar 씨는 “이번 취약점은 페이스북 지원 대시보드의 취약한 부분을 이용한 공격으로 페이스북 페이지는 물론 공유되거나 태그된 사진들도 삭제할 수 있어 페이스북에 알리고 수정을 요청했다”고 밝혔다.

\r\n

\r\n

페이스북 지원 대시보드는 사진 삭제 요청 시 사용되는데, 페이스북 담당자에 의해 검토된 후 사용자에게 삭제 링크주소를 보내거나, 사용자에게 바로 삭제 링크를 보내 링크 클릭 후 사진이 삭제되는 방식으로 동작한다.

\r\n

\r\n

그러나 이 과정에서 취약한 파라미터인 PHOTO_ID와 PROFILE_ID가 전송된다. PHOTO_ID의 경우 사진에 해당하는 페이스북 URL의 fbid 값을 통해 알 수 있고, PROFILE_ID는 페이스북 그래프를 통해 쉽게 알 수 있어 해당 파라미터를 수정하면 사용자 확인 없이도 쉽게 사진 삭제가 가능했던 것이다.

\r\n

\r\n

\r\n

\r\n\r\n\r\n

\r\n https://m.facebook.com/report/social/?phase=0&next_phase=8&pp={first_dialog_phase: 8,support_dashboard_item_id:396746693760717,next:/settings/support/ \r\n details/? fbid=396746693760717,actions_to_take:{send_message: \r\n send_message }}&content_type=2&cid=PHOTO_ID&rid=PROFILE_ID

\r\n

\r\n

Kumar 씨는 “위의 URL을 예로 들어보면, 공격자 1이 희생자의 PHOTO_ID를 획득한 뒤, cid에 삭제하고자 하는 사진의 PHOTO_ID를 입력하고, rid에는 공격자 2의 PROFILE_ID로 수정해 요청을 보내면 삭제 링크가 희생자가 아닌 공격자 2에게 전송되어 공격자 2에 의해 삭제할 수 있게 된다”고 설명했다.

\r\n

\r\n

한편, Kumar 씨는 웹사이트 버그 포상금 프로그램을 통해 12,500 달러의 포상금을 지급받았으며, 현재 해당 취약점은 페이스북에 의해 보완된 상태다.

\r\n

[김지언 기자(boan4@boannews.com)]