취약점
-
스마트폰 블루투스 해킹 주의보!뉴스 & 컬럼/앱 & SW 2020. 6. 11. 17:41
블루투스 취약점을 공략해 해킹하고 무선 이어폰을 통화 상태로 전환해 강제로 엿듣네요; 물론 이건 해킹 당하는 피해자가 이어폰을 그 장소까지 휴대하고 굳이 꺼내놓고 활성화 시켜놔야 가능한 시나리오라 (게다가 에어팟이나 버즈, 소니의 WTF 시리즈 등 기기는 귀에서 빼는 순간 바로 일시 중지되는데.. 물론 이것도 해킹으로 도로 활성화시켜 소리를 전달받을 수 있겠죠) 애매하지만, 만약 스마트폰의 스피커를 활성화 시켜 소리를 전달받는다면 불가능한 시나리오도 아니죠 (매우 위협적이죠!), 이미 비슷한 시도로 드라마 '나의 아저씨'에서도 꽤나 비슷한게 묘사되기도 했구요. 무선이 - 일단 TW 이어폰 한정으로 - 선 없는 편리함과 준수한 소리 품질 등은 두말할 나위 없이 좋지만 그에 반해 배터리로 인한 수명 문제와 ..
-
경고없이 앱이 설치될 수 있다? 안드로이드 NFC 취약점뉴스 & 컬럼/앱 & SW 2019. 11. 5. 02:08
아직 구체적으로 방법이나 피해 사례는 알려지지 않았으나 어쨌든 안드로이드 8.0 이상 시스템에서 무선 솔루션인 NFC 기능을 통해 상대방 시스템에 허락/알람 없이 앱을 전송해 설치시키는 취약점이 발견되었다고 합니다. 안드로이드가 모바일 OS인 점을 생각해 보면 스마트폰 등이 타겟이 될 확률이 매우 높겠죠. NFC 특성상 5cm 미만 거리에서 이뤄져야 하는 행위인 만큼 위험도는 떨어질 수는 있는데... 결제시 옆의 다른 기기를 통해, 혹은 NFC 태그가 켜져 있는 상태에서 가까이 누가 다가가 위험한 앱을 건넨다던가 하는 시나리오는 충분히 가능성이 있어 보이죠. 구글에선 10월 패치 분을 각 제조사 등지로 전달했을텐데 사용자 선에선 직접 패치를 해줘야 하는 이들 제조사들 (필요한 경우 이통사들도..) 움직임..
-
웹사이트 광고로 유포되는 선 랜섬웨어 주의보!뉴스 & 컬럼/앱 & SW 2018. 12. 1. 20:02
보안이 철저하지 않은 서버가 특히 대상이 되는 듯 하죠? 웹사이트의 광고 서버를 공략해 얼마 안되는 악성코드 스크립트를 삽입해 두고 이제 방문자가 감염된 사이트에 접속하기만 기다리면 알아서 감염이 되는 선 랜섬웨어. Seon 랜섬웨어라고 하는데 이름도 그렇고 특정 뉴스 사이트가 (공격) 대상으로 정해졌다고 하니 국내에서 만들어진 건 아닐까 생각이 드네요. 뉴스에선 어떤 사이트인지는 언급하고 있지 않아서 만약 뉴스 사이트가 대상이었다면 당분간은 포털 등지를 이용해 뉴스를 보시는게 나을 것 같고 OS와 그 보안 코드, 보안 프로그램과 백신 등을 최신 버전으로 꼭 유지 하시길 당부합니다. 기사 : 웹사이트 방문만으로도 감염..'선 랜섬웨어' 주의보 안랩에 따르면, 공격자는 먼저 특정 웹사이트 광고서버 취약점을..
-
애플이 말하는 "왜 플래시가 나쁜가"뉴스 & 컬럼/앱 & SW 2010. 11. 1. 08:40
지난 5월 경 애플의 CEO 스티브 잡스가 어도비의 플래시를 상대로 어째서 iOS가 계속 플래시를 지원하지 않는가에 대해 논평을 한 적이 있었습니다. 10월 24일 어도비는 강력한 기능으로 재무장한 AIR 2.5를 발표했는데요, 이번에 포스팅하면서 관련 내용을 요약해서 같이 포스팅 해 봅니다. "어째서 스티브 잡스는 플래시를 지원하지 않으려 하는가" 1) 플래시는 폐쇄적이다 - iOS도 마찬가지일 수 있으나, 중요한 차이점은 바로 "웹과 관련된 모든 표준은 개방적이어야 한다" 는 점에 차이가 있음. 애플은 HTML5 와 CSS3, 자바스크립트 기반 기술을 도입하고 지원하고 있으며, 애플 뿐만 아닌 구글의 안드로이드 브라우저, 블랙베리의 애플 사파리 브라우저 채택 건이나 MS의 IE9.0의 HTML5 기본..
-
오로라 악성코드에 대한 상세 분석뉴스 & 컬럼/앱 & SW 2010. 1. 23. 03:09
안랩 ASEC(안철수연구소 보안대응센터)에서 이번에 구글을 공격했던 Operation Aurora에 대해 상세하게 분석한 내용을 발표 했습니다. IE가 가지고 있는 제로데이 취약점을 이용해 공격을 감했했는데, 관련 긴급 패치가 어제부터 마이크로소프트 웹사이트를 통해 배포되기 시작 했으나, 국내에도 이 악성코드가 발견되기 시작했습니다. 분석 내용 보기 관련 링크 Operation Aurora 악성코드 긴급 패치 배포 중 MS 긴급 패치 사이트 바로 가기 -- 안랩 블로그 中 -- 현재 인터넷 익스플로러의 알려지지 않은 취약점을 악용하는 악의적인 자바 스크립트 변형들이 계속해서 발견되고 있다. 그러므로 해당 웹 브라우저 사용자는 마이크로소프트에서 제공하고 있는 긴급 보안 패치 MS10-002를 즉시 설치하는..
-
1/21일 Operation Aurora에 대한 MS 반응 추가뉴스 & 컬럼/앱 & SW 2010. 1. 21. 11:42
결국 MS가 Operation Aurora에 대응하는 Out-of-Cycle 긴급 보안 패치를 송부하기로 결정한 모양입니다. 원문 : MS, 22일 IE 긴급 보안패치 배포 - ...해당 취약점은 IE 6,7,8로 특정 웹사이트를 열었을 경우 악성코드를 강제로 실행하도록 만드는 것. - 독일 정부에 연이어 프랑스와 호주 정부(비공식)도 IE 계열을 사용하지 말 것을 권고하고 나서는 등, MS가 수세에 몰릴 수 있는... 조금만 더 나아가면 MS 브라우저 전체에 대한 인식에 부정적인 영향을 줄 것이고, 또 피해 기업이 30여 곳이 넘는 굴지의 글로벌 기업들이다보니 어물쩡 넘기기엔 골치아픈 문제였을 거라 생각 합니다.