GN⁺: WhatsApp에서 발견된 클릭재킹 취약점을 통한 피싱 공격 가능성

발견 과정

• WhatsApp에서 링크 미리보기 기능을 통해 HTTP 요청을 수행하는 방법을 연구함.
• 링크와 미리보기가 별도로 전송되는 것을 확인하고, 이를 이용해 실제 링크와 다른 미리보기를 가진 메시지를 생성하는 데 성공함.

문제점 #1 - 링크 미리보기 불일치

• WhatsApp 메시지에 포함된 링크와 미리보기 데이터를 분석하여 불일치를 만들어내는 방법을 모색함.
• 메시지를 가로채고 수정하여 미리보기와 실제 링크가 다른 메시지를 전송하는 데 성공함.

문제점 #2 - 링크 위장 (2K2E)

• 유니코드 문자를 이용해 텍스트 표현을 변경하는 방법을 실험함.
• U+202E (Right-To-Left Override) 문자를 사용하여 링크를 역순으로 표시하고, 이를 통해 가짜 URL을 실제 URL처럼 보이게 하는 방법을 개발함.

최종 결과

• Instagram으로 보이는 URL을 만들었지만, 실제로는 공격자의 블로그로 연결되는 링크를 생성함.
• 이를 통해 사용자가 정상적인 링크로 착각하여 클릭하게 만들 수 있는 취약점을 발견함.

공격 시나리오

• 공격자가 가짜 도메인을 구입하고, 정상적인 도메인의 미리보기를 사용하는 메시지를 생성함.
• matchedText 속성을 제거하고 text 속성을 U+202E 문자와 가짜 URL로 변경하여 메시지를 조작함.
• 이렇게 조작된 메시지를 피해자에게 전송함.

Meta의 반응

• Meta는 다양한 플랫폼과 환경을 지원하기 때문에 URL 정규화 로직을 동적으로 조정할 수 있는 시스템을 가지고 있음.
• 그러나 Meta는 이 보안 문제를 해결할 의도가 없으며, 스팸으로 감지될 경우에만 대응할 것으로 보임.

완화 방법

• Meta가 이 문제를 해결할 의도가 없기 때문에 WhatsApp에서 링크를 신뢰할 수 없음.
• 링크를 클릭하기 전에 복사하여 클립보드 미리보기에서 U+202E 문자가 정화된 링크 주소를 확인해야 함.

업데이트

• WhatsApp 이외에도 적절한 정화가 이루어지지 않아 2K2E에 취약한 다른 서비스들이 있음.

GN⁺의 의견:

• 이 글에서 가장 중요한 것은 WhatsApp에서 발견된 클릭재킹 취약점으로, 사용자들이 실제 링크와 다른 가짜 링크를 클릭하게 만드는 공격 방법이 상세히 설명되어 있음.
• 이 글이 흥미로운 이유는 일반적으로 신뢰하는 메시징 플랫폼에서 예상치 못한 보안 취약점이 발견되었기 때문이며, 이는 사용자들에게 링크를 클릭하기 전에 항상 주의를 기울여야 하는 이유를 상기시켜 줌.
• 또한, Meta의 반응이 이 문제를 적극적으로 해결하려는 의지가 없음을 보여주어, 사용자 스스로가 보안에 더욱 주의를 기울여야 할 필요성을 강조함.