Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 10월 31일] 주요 보안 이슈
작성일 2017-10-31 조회 1886

1.[기사] 아이폰 카메라 권한을 활용해 사용자 몰래 사진을 찍을 수 있다
[http://securityaffairs.co/wordpress/64958/digital-id/iphone-camera-control.html]
[https://thehackernews.com/2017/10/iphone-camera-spying.html]
[https://krausefx.com/blog/ios-privacy-watchuser-access-both-iphone-cameras-any-time-your-app-is-running]
[http://www.ohfun.net/?ac=article_view&entry_id=17056]

iOS 앱에서 카메라를 사용해 자동으로 사진을 찍고 라이브 비디오를 녹화할 수 있는 심각한 개인 정보 문제가 발견되었다. 오스트리아 개발자이자 Google 엔지니어인 Felix Krause는 iOS 앱 개발자가 전면 및 후면 카메라를 모두 사용하여 자동으로 사진을 찍고 라이브 비디오를 녹화할 수 있는 Apple iPhone의 개인 정보 보호 문제를 발견했다. 아이폰 사용자는 장치로부터 어떤 알림도 받지 않는 것으로 알려졌다. "iOS 사용자는 종종 앱을 다운로드 한 후 카메라에 대한 액세스 권한을 부여합니다. 메시징 앱이나 뉴스 피드 기반 앱과 같은 이 앱은 사용자의 동의없이 얼굴을 쉽게 추적하거나 사진을 찍거나 앞면과 뒷면 카메라에 접근할 수 있다."라고 Krause는 말한다. Krause에 따르면 이 문제는 Apple 소프트웨어가 카메라 액세스를 처리하는 방식의 직접적인 결과라고 한다.  현재 WhatsApp, Facebook, Snapchat을 포함한 거의 모든 응용 프로그램이 카메라에 대한 액세스를 요청하여 사용자가 앱 내에서 사진을 찍을 수 있다. 주의해야 할 것은 보안상의 취약점이 아니며, 사용자의 활동을 조용하게 모니터링하기 위해 의도적으로 악용될 수 있다는 점이다.


2.[기사] 구글 reCaptcha 서비스 무력화 시킬 수 있는 도구 'unCaptcha'
[https://threatpost.com/googles-recaptcha-cracked-again/128690/]
[https://www.bleepingcomputer.com/news/technology/uncaptcha-breaks-450-recaptchas-in-under-6-seconds/]

구글의 reCaptcha 서비스를 85%의 정확성으로 무력화 시키는 unCaptcha라는 도구가 개발되었다. 이 도구는 Google의 reCaptcha V2 서비스의 오디오 챌린지 옵션을 악용할 수 있다. CAPTCHA는 컴퓨터와 인간을 구분하기 위해 완전히 자동화된 공용 튜링 테스트의 약자이고, ReCaptcha는 이미지, 오디오 또는 텍스트 문제를 사용하여 사용자가 계정에 로그인하고 있음을 확인하는 자체 기술 및 무료 서비스이다. Google은 2014년 reCaptcha를 공개 서비스의 대부분에 도입하였다. 이를 무력화 시키기 위해 새롭게 개발된 unCaptcha의 메서드는 챌린지의 이미지 부분에 의존하지 않고 오디오 클립에서 사용되는 숫자 또는 단어를 식별한다.  시각 장애가 있는 사용자는 시각적인 captcha를 해결할 수 없기 때문에 오디오 captcha를 만들 수 있다고 연구진은 설명했다. 연구 논문에 따르면 unCaptcha는 무료 음성 텍스트 엔진 온라인과 고급 음운 매핑 기술을 결합했다.  첫째, 연구원은 브라우저 자동화 소프트웨어를 사용하여 reCaptcha 서비스의 오디오 옵션을 선택한다. 그러면 사운드 파일이 다운로드 된다. 다운로드 된 파일을 이용하여 오디오 단어 챌린지를 식별할 수 있다.


3.[기사] 한국기상산업기술원 해킹 당해...고객개인정보 유출 뒤늦게 발견
[http://www.boannews.com/media/view.asp?idx=57761&page=1&mkind=1&kind=1]

기상청 산하 기관인 한국기상산업기술원 홈페이지가 허술한 보안관리로 지난 3월 해킹되어 고객들의 개인정보가 유출된 것으로 밝혀졌다. 국회 환경노동위원회 소속 신보라 의원(자유한국당)이 기상청으로부터 제출받은 자료에 따르면, 지난 3월 한국기상산업기술원(이하 기술원)의 홈페이지가 중국발 공격으로 인해 관리자 권한이 탈취된 것으로 나타났다. 기술원 측은 홈페이지 서비스 끊김 현상 등 이상 징후가 포착되자 홈페이지 네트워크를 차단하고 5일간 홈페이지 서비스를 중단 했으나, 이미 관리자 권한이 탈취되어 홈페이지 서버에 업로드 되었던 고객들의 개인정보가 유출되었다. 해킹의 원인으로는 기술원 홈페이지 방화벽 정책이 외부 접속이 가능한 환경으로 설정되어 있었으며, 특히 2016년 홈페이지를 개편한 이후 위탁업체에서 최초로 설정했던 쉬운 문자열의 계정과 암호를 변경하지 않고 그대로 사용한 것으로 밝혀졌다. 신보라 의원은 “정보보안의 A․B․C만 알아도 관리자 계정을 이렇게 설정하지 않았을 것”이라며 “기술원 담당자의 허술한 보안 의식이 해킹을 초래했다”고 말했다. 기술원 정보보안 담당자는 회원가입 없이 운영되는 홈페이지 특성상 수집되는 개인정보가 없어 고객들의 개인정보 유출 등의 피해 특이사항은 없다고 설명한 바 있다. 하지만 의원실 자체적으로 기술원 홈페이지를 조사한 결과 회원가입 외 개인정보를 수집하는 항목이 별도로 존재 했으며, 국내 기상산업 기업들의 정보들도 포함된 것으로 밝혀져 충격을 주고 있다. 


4.[기사] 유튜브 URL로 스푸핑하는 페이스북의 링크
[https://thehackernews.com/2017/10/facebook-link-spoofing.html]

Facebook은 최근 스팸, clickbait 및 가짜 뉴스 기사로 가득 차 있기 때문에 대부분의 사용자는 타임라인에 게재된 링크를 클릭하지 않는다. 그러나 관심있는 내용이 YouTube나 Instagram과 같은 합법적이고 대중적인 웹 사이트로부터 링트되어 있는 경우 URL을 클릭할 가능성이 훨씬 높다. 페이스 북에서 공유되는 링크를 편집할 수는 없지만 잘못된 정보와 거짓 뉴스의 확산을 막기 위해 링크의 제목, 설명, 미리보기 이미지를 편집 할 수있는 기능을 제거했다. 그러나 공격자는 공유 링크의 URL을 스푸핑하여 예상치 못한 방문 페이지로 사용자를 속여 악성 코드나 악성 콘텐츠가 포함된 피싱 또는 가짜 뉴스 웹 사이트로 리디렉션 할 수 있다. 이를 대비하기 위해 Facebook에 링크가 클릭 될 때마다 "Linkshim"이라는 시스템이 해당 URL을 회사의 자체 악성 링크 차단 목록과 비교하여 피싱 및 악의적인 웹 사이트를 차단하고 있다. 하지만, 공격자가 스푸핑된 링크를 생성하기 위해 새 도메인을 사용하는 경우 Linkshim 시스템이 악성인지 여부를 쉽게 식별할 수 없다. Linkshim은 내용을 검색하여 이전에 발견되지 않은 악의적인 페이지를 식별하기 위해 기계 학습을 사용하지만, 사용자 에이전트 또는 IP 주소를 기반으로 하는 콘텐츠를 Facebook bot에 명시적으로 제공함으로써 보호 메커니즘이 우회될 수 있다. 따라서 사용자는 페이스 북에서 공유 URL을 되도록 열지 않아야 한다.


5.[기사] 안드로이드 앱과 WordPress 사이트에서 발견된 Coinhive
[https://www.bleepingcomputer.com/news/security/coinhive-miners-found-in-android-apps-wordpress-sites/]
[http://blog.trendmicro.com/trendlabs-security-intelligence/coin-miner-mobile-malware-returns-hits-google-play/]

지난 주에 브라우저 내 JavaScript 기반 암호 해독 스크립트의 악의적인 배포가 계속되었으며 공식 Google Play 스토어의 안드로이드 응용 프로그램에서도 발견되었다. 그러나 최초의 대량 배포는 해킹 된 WordPress 사이트의 botnet인 것으로 밝혀졌다. 대부분의 데스크톱 사용자는 이미 이러한 스크립트를 차단할 수 있는 광고 차단기 또는 바이러스 백신을 실행한다.  하지만 모바일 장치에서는 바이러스 백신을 정기적으로 사용하지 않거나 모바일 브라우저에 광고 차단기를 설치하지 않는다. 이러한 이유 때문에 Coinhive 마이닝 스크립트를 배포하는 앱에 의해 감염될 가능성이 높다. 현재 공식 Play 스토어에서 제거된 두 개의 앱은 "Recitario Santo Rosario Free"및 "SafetyNet Wireless App"으로 명명되었다. 사용자가 두 개의 앱을 열어 두는 동안 Coinhive가 실행되어 휴대전화 리소스가 최대로 사용된다. 문제는 이에 대한 권한을 앱이 사용자에게 요청하지 않기 때문에, cryptocurrency 마이닝 동작이 기기 과열, 배터리 수명 감소, 성능 저하 및 기기의 물리적 상태에 대한 일반적인 마모로 이어질 것이다.


6.[기사] LG전자 SmartThinQ 보안취약점 발견…모바일 앱 최신 버전으로
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=25321]

해외 보안 연구원들이 LG가 제조한 스마트 홈 기기들에 개인정보보호에 관한 문제를 제기하고 나섰다. 연구원들은 LG SmartThinQ 스마트 홈 기기들에서 냉장고, 오븐, 식기세척기, 에어컨, 건조기, 세탁기 등 인터넷에 연결 된 기기들을 하이재킹 할 수 있도록 허용하는 보안취약점들을 발견했다고 밝힌 것이다. 또한 해커들이 LG의 카메라가 장착 된 로봇 청소기인 ‘홈봇’을 원격으로 제어할 수 있으며 기기 부근에 있는 모든 것들을 감시하기 위해 라이브 비디오 피드에 접근할 수 있는 것으로 나타났다. 이 해킹 방식은 해커와 타깃 기기가 동일한 네트워크에 있어야 한다는 전제조건 또한 필요하지 않다. 'HomeHack’이라 부르는 이 취약점은 LG의 SmartThinQ 가전 제품들을 제어하는데 사용되는 모바일 앱과 클라우드 어플리케이션에 존재하며, 공격자가 원격으로 해당 앱을 통해 제어할 수 있는 모든 연결 된 기기들에 원격으로 접근할 수 있도록 허용한다. 연구원들은 이 취약점을 이용한 해커들이 원격으로 SmartThinQ 클라우드 어플리케이션에 로그인해 피해자의 LG계정을 탈취할 수 있다고 지적했다. 이 두 보안 기능을 우회하기 위해, 해커는 먼저 앱의 소스를 디컴파일 후 SSL 피닝과 안티-루트를 활성화 하는 기능을 앱의 코드에서 제거한 후 재컴파일 해 루팅 된 기기에 설치하면 된다. 이어 조작 된 앱을 그들의 루팅 된 스마트폰에서 실행 해 어플리케이션 트래픽에 인터셉트 하기 위한 프록시를 설정할 수 있다. 해커들은 해킹 된 기기의 설정을 변경하거나, 껐다 켰다 등의 행동을 할 수 있다. 연구원들은 지난 7월 31일 LG에 해당 취약점을 공개했으며, LG는 이를 9월에 수정했다. 따라서 LG SmartThinQ 가전을 사용하고 있다면, 구글 플레이 스토어, 애플 앱 스토어, LG SmartThinQ 세팅을 통해 LG SmartThinQ 모바일 앱을 즉시 최신 버전(1.9.23)으로 업데이트 해야한다.

첨부파일 첨부파일이 없습니다.
태그 Coinhive  스푸핑  unCaptcha