많은 안드로이드 앱에 잘못된 OAuth 인증 설계가 적용돼, 사용자의 페이스북, 링크드인, 트위터 등 소셜 계정에 부정 접근할 수 있다는 사실이 밝혀졌다. 미국 컬럼비아대 박사과정의 빈센트 비에노, 에드워드 가르시아, 제이슨 나이 등 3명은 ‘플레이드론’이라는 구글 플레이 스토어용 크롤링 봇을 만들어 자료를 수집했다. 이들은 매일 110만개 앱을 크롤링했고, 88만개 공개앱의 소스코드를 분석했다. 디컴파일을 통해 분석한 결과, 많은 앱이 개발자와 앱 사용자의 계정 모두를 탈취할 수 있는 인증키를 담고 있었다.
에어비앤비의 공식앱도 페이스북, 구글, 링크드인, MS, 야후 계정에 대한 비밀 OAuth 토큰이 포함돼 있었다. 이 토큰은 원래 서비스 공급자가 각 사용자의 계정 접근 때에만 공급해야 하는 것인데, 이를 앱에 담아둔 것이다. 이로 인해 악성 해커가 이를 이용해 수백만명 이상 사용자의 페이지에 악성 게시물을 올릴 수도 있었다. (현재는 해결됐다.)
관련 기사: Ars Technica
tN insight: 어처구니 없는 설계 실수다. 문 바로 옆에 열쇠를 걸어둔 셈. “설마 열쇠를 그렇게 방치해 두겠어” 싶어서인지 아직까지 공격에 악용된 사례는 나오지 않았지만, 황당한 일이다. 이런 편법을 제대로 적발하지 못하면 앱 생태계는 순식간에 망가진다.