구글, API 클라이언트 라이브러리에서 보안 취약점 발견 후 패치  
상태바
구글, API 클라이언트 라이브러리에서 보안 취약점 발견 후 패치  
  • 곽중희 기자
  • 승인 2022.05.20 13:23
  • 댓글 0
이 기사를 공유합니다

공격자, 인증 우회 통회 멀웨어 유포할 수 있어

구글이 자바용 OAuth 클라이언트 라이브러리에서 보안 취약점이 발견돼 패치를 실시했다고 밝혔다. 이번에 발견된 취약점( CVE-2021-22573)을 통해 공격자는 멀웨어를 배포할 수 있었던 것으로 알려졌다.

구글 OAuth 클라이언트 라이브러리는 구글 API뿐만 아니라 웹의 모든 OAuth 서비스와 함께 작동하도록 설계됐다. 이 라이브러리는 자바용 구글 HTTP 클라이언트 라이브러리를 기반으로 하며 ▲자바 7 표준(SE) ▲엔터프라이즈(EE) ▲안드로이드 4.0 ▲구글 앱 엔진 등을 지원한다.

구글은 NIST(미국 국립 표준 기술 연구소)를 통해 “이번 취약점은 ID 토큰 검증자가 서명 확인을 제대로 하지 않는다는 것에 문제가 있었다. 서명 확인은 전송되는 데이터가 어떤 공급자로부터 오는지 확인한다. 서명 확인을 제대로 하지 않으면 공격자가 멀웨어와 함께 손상된 토큰을 유포할 수 있다. 고로 버전을 1.33.3 이상으로 업그레이드해야 한다”라고 설명했다.

이번 취약점은 지난 3월 12일 보안 연구원 Tamjid Al Rahat에 의해 보고됐으며, 구글은 연구원 측에 포상금 프로그램의 일환으로 5000달러를 수여했다. 구글은 4월에 버전 1.33.3를 출시하면서 이 문제를 해결했다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.