1. Home
  2. 카테고리
  3. 뉴스
  4. 하드웨어 뉴스
  5. Arc Raiders가 실수로 Discord 대화 내용을 암호화되지 않은 로컬 게임 파일에 기록하는 문제가 발견됨 — SDK의 취약점을 통해 메시지 및 자격 증명을 평문으로 로깅할 위험성
  • hw_reporterH hw_reporter

    Arc Raiders가 실수로 Discord 대화 내용을 암호화되지 않은 로컬 게임 파일에 기록하는 문제가 발견됨 — SDK의 취약점을 통해 메시지 및 자격 증명을 평문으로 로깅할 위험성

    hw_reporterH hw_reporter

    다행히 해당 문제는 Arc Raiders 측에서 핫픽스되었지만, 근본적인 문제는 여전히 Discord에 있습니다.

    article image

    업데이트 - 3월 10일 화요일: 본 기사 업데이트를 통해 Discord 대변인은 다음과 같은 코멘트를 제공했습니다. "저희는 최근 Social SDK 게임 통합을 개발 및 테스트하는 개발자를 위해 설계된 디버깅 기능과 관련된 일부 Arc Raiders 플레이어에게 영향을 미치는 문제를 인지했습니다. 이 문제로 인해 일부 플레이어의 Discord 정보가 게임 내에서 장치에 로컬로 저장되었으며, 이를 확인하려면 해당 장치 또는 파일에 접근해야 했습니다. Embark에서 이 문제에 대한 핫픽스를 출시했으며, 저희는 개발자들에게 지침을 제공하고 Discord Social SDK에 추가 보호 조치를 업데이트하고 있습니다."

    컴퓨터 엔지니어 한 명이 Discord SDK에서 심각한 취약점을 발견했습니다. 이 취약점을 통해 게임이 아무런 보안 조치 없이 플레이어 간의 Discord DM(다이렉트 메시지)을 게임 로그에 저장할 수 있었습니다. 시스템 엔지니어 티모시 메도우스(Timothy Meadows)는 블로그 게시물을 통해 Arc Raiders가 두 게이머 사이의 DM을 평문(plaintext)으로 로컬 로그 파일에 저장한 사건을 공개했습니다. 다행히도 작성 시점에는 이 문제가 Embark Studios에 의해 이미 핫픽스 처리된 상태였습니다.

    [중략: Desktop Roadmap, Enterprise Roadmap, Rubin in-depth]

    티모시가 밝힌 바에 따르면, Arc Raiders의 Discord SDK는 완전히 암호화되지 않은 베어러 토큰(bearer token)을 사용하고 있으며, 사적인 대화 내용을 포함하여 "모든 이벤트"를 암호화 없이 사용자 로컬 드라이브에 로깅하고 있었습니다. 베어러 토큰은 사용자의 Discord 자격 증명을 담고 있어, 이 토큰을 획득한 사람은 개인 DM, 친구 목록, 계정 설정 등 Discord 사용자 계정에 대한 완전한 접근 권한을 가지게 됩니다.

    article image

    상황은 더욱 심각합니다. Arc Raiders가 충돌하여 사용자가 로그 파일을 Embark Studios(게임 개발팀)로 전송할 경우, 회사 직원들은 해당 사용자의 전체 계정 자격 증명과 로그 파일에 담긴 모든 DM까지 손에 넣게 됩니다.

    [중략: Steam client alleged... 등 헤더]

    Arc Raiders는 Discord SDK를 사용하여 게임 내에서 사용자의 Discord 친구 목록을 표시하고 친구를 게임에 초대하는 기능에 한정하여 사용합니다. 티모시는 이 제한된 기능 구현을 위해서는 게임이 "게임 활동 표시를 위한 제한적인 OAuth 범위(limited OAuth scope for game activity display)"만 필요하다고 지적했습니다. 이 조치가 문제를 해결하고, Arc Raiders가 DM을 로그 파일에 기록하거나 사용자의 전체 계정 자격 증명을 게임 로그 파일에 저장하는 것을 방지할 것입니다. 다만, Discord의 API를 검토한 일부 엔지니어들은 문제는 전적으로 Discord 자체의 결함에 있다고 지적하고 있습니다.

    article image

    실제로 독립적인 보안 연구원들은 이 문제를 분석하며, 해당 취약점이 Arc Raiders나 Embark Studios의 잘못이 아닐 수 있다고 언급했습니다. 이들은 Discord의 새 Social SDK가 오버라이드(override) 할 수 있는 로깅 후크(logging hook)를 갖고 있음에도 불구하고, Discord가 로그 이벤트에서 민감한 정보를 제거(scrub)하는 데 실패하고 있다고 지적했습니다.

    다행히 Embark Studios는 이후 핫픽스를 통해 해당 문제를 패치했습니다. 게임 회사는 사용자들에게 사적인 개인 데이터가 게이머의 PC 외부로 유출된 적은 없으며, 회사 측에서 개인 정보를 검토하거나 보관한 기록도 없다고 확신했습니다. Embark Studios는 현재 Discord SDK를 완전히 비활성화하고, SDK와 관련하여 다른 보안 문제가 없는지 전반적인 감사를 진행하고 있습니다.

    이는 Discord가 보안 문제에 직면한 첫 사례가 아닙니다. 이 소셜 애플리케이션은 작년 말 랜섬웨어 그룹의 해킹을 겪으며 Discord 개발자들에게 350만 달러를 요구받았고, 7만 장에 달하는 정부 신분증 사진을 탈취한 것으로 알려지기도 했습니다.

    [마무리 문구는 생략]

    [출처:] https://www.tomshardware.com/video-games/pc-gaming/arc-raiders-was-accidentally-recording-discord-conversations-into-an-unencrypted-local-game-file-vulnerability-in-sdk-could-log-messages-and-credentials-in-plaintext

    0
로그인 후 답글 작성