월마트(Wal-Mart)의 모바일 앱 보안 이슈

개요

• 대규모 IT인력을 가진 대기업도 모바일 앱 보안에 대하여 주의를 기울이고 있지 않음. 최근 조사 결과 미국 최대 대형 할인점인 월마트(Wal-Mart)의 iOS 모바일 앱에서 사용자 패스워드, 계정 명, E-mail, 위치정보가 유출됨
      - 미국 IT매거진 컴퓨터월드(Computerworld)의 요청으로 iOS 모바일 앱에 대한 보안 테스트가 진행되었
        으며, 미국 최대의 식품, 잡화 판매업체인 월그린(Walgreen)의 앱 또한 보안 결함 발견

 

주요 내용

• 월마트 앱은 최근 보았거나 검색한 상품들을 광범위하게 보여주는데, 이 기능으로 인해 사용자가 보여주고 싶지 않은 민감한 정보들이 주변 사람들에게 노출
• 여기에 패스워드나 계정 정보가 암호화 되지 않은 상태로 앱에 저장 후 서버로 전송되고 있어, 해커가 사회 
  공학적 기법을 포함한 각종 공격 기법을 이용하여 정보 탈취 가능 
      - 민감한 정보 자체를 암호화하지 않고 HTTPS에만 의존하고 있어 악의적인 사용자가 SSL을 무력화 시키는
        경우 사용자명이나 패스워드가 평문 상태로 노출
      - 윌그린 앱의‘필 리마인더’기능의 경우 사용자가 처방전을 사진으로 찍어 저장해야 하는데, 이 파일을 
        암호화 하지 않아 아무나 접근 가능
       ※ 필 리마인더(Pill Reminder) : 약을 복용할 시간을 알려주는 스마트 앱
• 보안 인증에도 문제가 있지만, 패스워드를 ‘1111’, ‘password’같이 쉽게 해킹당할 수 있는 것으로 지정하고 있는 것도 문제
      - 현재 이러한 계정들은 사용 불가하도록 조치
• 특히 공공 Wi-Fi 사용 시 사용자가 선택한 민감한 상품의 이미지와 검색 내용이 도청(sniffing) 가능한 취약성 
  발견. 동일 Wi-Fi내 사용자가 많더라도 스마트폰 기기명이나 MAC 주소, IP주소를 통해 연관성을 찾을 수 있음

 

[출처]
1. IT WORLD “http://www.itworld.com/security/411480/evan-schuman-wal-mart-latest-big-company-mobile-app-security-problems”

 

작성 : 침해사고분석단 분석기획팀