기사 요약 :
구글 클라우드 플랫폼(GCP)에서 발견된 고스트토큰(GhostToken)이라는 취약점은 서드파티앱의 토큰을 악용하여 악성 애플리케이션을 피해자의 구글 계정에 심을 수 있으며 해당 애플리케이션은 완전 삭제되지 않고 피해자가 보이지 않게 '삭제 중'으로 남아있어 추후에 다시 악용이 가능하고 발견이 쉽지 않다고 한다.
[ 공격 원리 ]
- GCP라는 공간에 앱 스토어가 존재하는데 그중에서 비공식 서드파티 앱 스토어들을 이용할 경우 앱을 다운로드하면 토큰(Token)이 부여되고 해당 토큰을 이용해 사용자의 구글 계정에 접근 가능
- 고스트토큰 취약점을 이용하여 앱을 앱 스토어에 심어 넣을 경우 멀웨어가 구글 계정에 접근할 수 있는데 관리 페이지에는 공격자의 앱이 표시되지 않도록 해 탐지되기 어렵게 한다. 일종의 보이지 않는 앱(Ghost APP)
[ 공격 시나리오 ]
1) 피해자가 OAuth 기반 애플리케이션을 승인하도록 속여 피해자의 구글 계정 토근이 공격자에게 전달.
2) 인증된 OAuth 기반 애플리케이션과 관련 프로젝트를 삭제. 그러면 '삭제 중' 상태가 됨. (삭제가 된 것도 아니고 안된 것도 아닌 상태이기 때문에 사용자의 앱목록에 나타나지 않음)
3) 해당 애플리케이션을 복구하면 새로운 토큰이 생성되고, 사용자의 정보에 접근
4) 정보 접근 이후 다시 프로젝트를 삭제하면 애플리케이션이 '삭제 중' 상태가 됨. 유령상태
[ 구글의 조치 ]
- '삭제 중' 상태가 지속 중이어도 해당 앱이 목록에 나타나도록 패치
문가용 기자, 구글 클라우드에서 발견된 유령, 영원히 ‘삭제 중’ 상태 유지하며 사라졌다 나타났다., 보안뉴스, https://www.boannews.com/media/view.asp?idx=117371
구글 클라우드에서 발견된 유령, 영원히 ‘삭제 중’ 상태 유지하며 사라졌다 나타났다
구글 클라우드 플랫폼(GCP)에서 보안 취약점이 하나 발견됐다. 이 취약점을 익스플로잇 할 경우 공격자들은 악성 애플리케이션을 피해자의 구글 계정에 심을 수 있게 된다. 이러한 악성 애플리케
www.boannews.com
