Play 스토어에서만 자그마치 1억 회 이상 다운로드된 유명 파일 탐색기 애플리케이션인 ES 파일 탐색기에서 심각한 보안 문제가 발견되었다.

트위터에서 @fs0c131y라는 계정명을 가진 사용자가 발견하고 이를 알렸으며, 해당 보안 문제의 내용은 다음과 같다.

  • ES 파일 탐색기를 열 경우 59777번 포트에서 HTTP 서버가 열린다.
  • 이를 통해 로컬 네트워크에 있는 누구나 해당 기기에 접근할 수 있다.
  • 공격자는 접근 후 JSON 페이로드 인젝션을 통해 해당 기기의 데이터에 접근하거나 데이터를 빼낼 수 있다.
  • 이 보안 문제는 ES 파일 탐색기 4.1.9.7.4 이하 버전에 모두 해당된다.

해당 보안 문제는 CVE-2019-6447로 등록되었고, GitHub에서 해당 보안 문제를 시뮬레이션 할 수 있는 도구를 제공하고 있다. 내 휴대폰에도 깔려있던 것이었기에 한 번 시뮬레이션 해보기로 했다.

ES 파일 탐색기에 의해 포트가 열려 있다.

ES 파일 탐색기의 프로세스명인 com.estrongs.android.pop으로 포트가 열려 있는 것이 확인된다.

분석 도구에서 사용 가능한 명령어

막상 보니 무섭다. 휴대폰에 있는 파일, 사진, 비디오, 오디오, 애플리케이션, 휴대폰 정보 등을 보고 빼올 수 있는 것은 물론 애플리케이션을 원격으로 실행하는 것까지 가능하다.

여분의 카메라가 없어 시뮬레이션 과정을 사진에 담진 못했으나 이 모든 기능이 정상적으로 작동했다. 공격자가 로컬 네트워크에 들어오기만 하면 시간 싸움이 된다는 이야기이다.

로컬 네트워크에 들어오는 것 또한 그리 어려운 일이 아니다. 공개된 Wi-Fi 핫스팟에 같이 연결되어 있는 것만으로도 이미 다른 사람과 로컬 네트워크 안에 함께 있는 셈이다.

이 보안 문제를 정말 단순히 보안 문제라고 해야 하는 것인지, 아니면 제작사가 일부러 심어둔 백도어라고 해야 하는 것인지 큰 의문이 들지만, 사용자가 원한다는 의사를 표명하지 않았는데도 사용자의 기기에 원격으로 접근 가능한 통로를 만들었다는 점을 감안해보면 보안 문제일 가능성은 희박해 보인다.

나 역시 이 애플리케이션의 오래된 사용자 입장에서 충격을 받았고, 해당 소식을 접하자마자 지워버렸다. 다른 파일 관리자를 찾거나 내장된 파일 관리자를 쓰거나 하지 ES 파일 관리자는 다시는 사용하지 않을 생각이다.