안드로이드 앱(Feedly) 자바스크립트 인젝션 취약점 발견

개요

• 'Feedly'라는 안드로이드앱에서 자바스크립트 삽입 공격을 통해 다양한 형태의 정보 수집 및 추가 공격이 
  가능하다고 경고
      ※ Feedly : 블로그, 잡지, 웹사이트등을 한번에 검색할 수 있는 RSS 구독 앱으로 iOS 와 안드로이드기기 
         모두 사용 할 수 있으며 안드로이드기기에서만 5백만 이상의 사용자가 이용하고 있음

 

주요내용

• 해킹커뮤니티에서 안드로이드앱을 대상으로 악성 자바스크립트 삽입 공격 증가에 대해 경고함, 싱가포르 보안
  전문가 Jeremy S.에 의하면 인기 RSS 구독 앱인 ‘Feedly’에서 악성스크립트 삽입 공격에 취약점이 발견
  되었다고 발표
     - ‘Feedly’앱에서는 웹사이트, 블로그에 있는 자바스크립트 코드를 검증하는 절차 없이 검색페이지를 불러
       오게 되어 있어 사용자가 ‘Feedly’앱을 통해 RSS 가입 된 사이트의 내용을 탐색 할 때 변조된 블로그 
       페이지를 통해 악성스크립트가 실행될 수 있음

< 스크립트 삽입후 실행화면 >

• 악성스크립트가 실행될 경우 사용자 쿠키값 변조, 웹페이지내용의 변조, 다른 사용자 공격을 위한 악성코드 
  삽입등 다양한 형태의 정보 수집 및 추가 공격이 가능함
• 해당 취약점에 대해 3월10일 'Feedly'에 통보후 3월 17일 해당 앱의 취약점 업데이트가 되었으나 취약점 보완에
  대한 내용은 공개되지 않았음

 

[출처]
1. http://thehackernews.com/2014/04/feedly-android-app-javascript-injection.html
2. http://securityaffairs.co/wordpress/24209/hacking/feedly-javascript-vulnerable.html
3. http://www.techienews.co.uk/9710092/feedly-android-app-vulnerable-javascript-injection/

작성 : 침해사고대응단 종합상황대응팀