인도 하이데라바드 국제정보기술대학 연구팀이 12월 영국 런던에서 열린 보안 콘퍼런스인 블랙햇 유럽(Black Hat Europe)에서 안드로이드 비밀번호 관리자에서 자격 증명을 훔칠 수 있게 해주는 오토스필(AutoSpill)이라는 취약성에 대해 발표했다.
연구팀은 안드로이드 안전 자동 입력 메커니즘을 회피하고 모바일 버전 비밀번호 매니저로부터 자격 증명을 훔칠 수 있는 취약성인 오토스필을 발견헀다고 보고했다. 안드로이드 또는 iOS 모바일앱은 항상 앱 화면만 표시하지 않으며 필요에 따라 웹 콘텐츠를 표시할 수도 있다. 이럴 때 일일이 앱을 떠나 브라우저를 여는 건 번거로운 탓에 앱 내 웹페이지를 표시할 수 있는 웹뷰(WebView)라는 기능이 많은 앱에 구현되어 있다. 연구팀은 안드로이드 앱이 웹뷰를 이용해 로그인 페이지를 열 때 자격증명을 자동 입력하려고 했던 비밀번호 관리자가 혼란에 빠져 실수로 앱 네이티브 필드에 자격 증명을 공개할 가능성을 발견했다.
연구팀은 모바일 기기에서 좋아하는 음악 앱에 로그인하려고 구글 또는 페이스북을 통해 로그인 옵션을 사용했다고 가정하면 앱은 웹뷰를 통해 구글이나 페이스북 로그인 페이지를 연다고 밝혔다. 비밀번호 관리자가 호출되어 자격증명이 자동으로 입력될 경우 이상적으로 로딩된 구글이나 페이스북 페이지에만 자동으로 입력해야 하지만 실수로 기본 앱에 노출될 수 있다는 것.
오토필로 명명된 이 취약점은 기본 앱에 악의가 있는 경우 심각하다. 피싱이 아니더라도 구글이나 페이스북 등 다른 사이트를 통해 로그인하도록 요청하는 악의적 앱은 자동으로 기밀 정보에 액세스할 수 있다고 지적했다.
사실 연구팀은 최신 안드로이드 장치로 인기 비밀번호 관리자(1Password, LastPass, Keeper, Enpass)를 이용해 오토필 작동 여부를 테스트했다. 그 결과 대다수 앱은 자바 스크립트 인젝션을 비활성화한 경우에도 오토스필에 취약하고 활성화한 경우 모든 비밀번호 관리자가 취약했다고 한다.
연구팀은 이미 구글이나 비밀번호 관리자 개발 기업에 오토스필에 대해 경고한 상태이며 일부 기업은 수정 사항에 대해 밝히고 있다. 연구팀은 공격자가 앱에서 웹뷰로 자격증명을 추출할 가능성을 찾고 있으며 오토스필을 iOS에서 재현할 수 있는지 여부도 조사하고 있다. 관련 내용은 이곳에서 확인할 수 있다.