SpiderLabs 연구원, Gmail에서 대량의 이메일 주소 노출 취약점 발견

개요

• SpiderLabs에서 연구 중인 이스라엘 연구원(Oren Hafif)은 구글에서 서비스하는 Gmail에서 타인의 이메일
  주소 정보를 탈취할 수 있는 취약점을 발견
• 공격자는 해당 취약점을 악용할 경우 대량의 구글 Gmail 주소를 수집할 수 있으며, 사용자에게 악성 메일을
  전송하여 피싱 사이트로 유도하거나 정보 탈취 시도 가능
    ※ 해당 취약점은 구글 버그바운티에 신고된 취약점으로 취약점 발견자에게 500$ 포상금을 제공

 

주요내용

• Gmail는 자신의 메일을 다른 구글 계정 소유자가 대신 읽거나 보낼 수 있도록 할 수 있는  메일 사용 권한 
  부여 기능을 제공
• 권한 부여자가 특정 이메일을 지정하여 권한 부여를 하게 되면, 해당 이메일로 권한 수락 또는 거부를 선택
  할 수 있는 URL링크가 메일 본문에 포함되어 수신

< Gmail 권한 부여 알림 메일 >

• 해당 링크에서 거부 주소를 클릭하면, 안내 메시지와 함께 권한을 부여한 사용자 이메일 주소가 화면에 표시
  되나, URL에서 사용자 보안 토큰을 변경할 경우 타인의 이메일 주소가 노출
• 취약점은 URL 정보 중 사용자 별로 발급되는 보안 토큰(10자리)를 자동화 도구를 통해 무차별 대입(Brute
  Forcing)할 경우 토큰 값에 일치하는 타인의 구글 이메일 주소를 안내 메세지에서 확인할 수 있음

< 안내 메시지와 함께 타인 이메일 계정 노출 >

• Gmail 사이트는 이러한 무차별 대입 공격에 대비하기 위해 Anti-bot이라는 방어기법을 기존에 적용하고 
  있었으나, 요청 URL에서 이메일 정보를 구글 고객 지원 이메일 주소(support@google.com)로 변경하여
  요청할 경우 무차별 대입을 차단하지 않아 대량의 메일 주소를 탈취가 가능  하였다고 언급

< 자동화 툴을 이용하여 노출된 구글 이메일 주소 >

• 현재 Google에서는 해당 취약점에 대한 보안 패치를 완료한 상태

 

[출처]
1. http://www.orenh.com/2014/06/one-token-to-rule-them-all-tale-of.html