기존의 안드로이드 악성앱의 수법과는 좀더 진화된 수법의 악성앱이 전파되고 있어 논란이 되고 있습니다. 정상앱과 비슷한 이름을 가장한 악성앱인 경우가 많았는데, 이번에는 정상앱과 악성앱이 같이 설치되는 수법을 사용한 것입니다. 

정상작동하면 안심하고 써도 된다 라는 명제가 깨져버린 것이지요. 설치전에 반드시 권한설정 부분을 보셔서 시스템 파일조작 까지 한다는 등의 불필요한 권한까지 요구한다면 설치하지 않으시는 것이 현명합니다. 

저도 갤탭 쓰면서 안드로마켓 많이 갑니다. 악성앱이 심심치 않게 보이네요. 종류도 많아서 비슷한 앱이 많기 때문에 권한이 최소화 된것으로 주로 이용하고 있습니다.

요즘은 보이스피싱에 대한 경각심도 많이 높아졌다고 생각하였는데, 아직까지는 피해가 많이 발생하는 것 같습니다. 주로 보이스피싱에 대한 정보가 부족한 고령자 위주로 발생하네요. 

수법이 더 진화하여 대출전화에서 쓰이던 발신번호조작을 이용하여 정말로 공공기관에서 전화온 것인냥 사기를 치고 있습니다. 공공기관에서 다짜고짜 돈을 송금해달라는 사례는 있을 수가 없지요. 정말로 사기인지 아닌지 판단이 서지 않을 때는 바로 관련기관에 전화해서 사실여부를 묻는 것이 최고입니다. 

더 이상의 피해가 없어야 보이스피싱도 사라질 것이기 때문이지요.

The truth about the latest Google Android security scare (Updated)
 

A security vulnerability in some Google apps on Android has everybody stirred up again, so let’s put this into perspective. In this article we’ll explain why the threat is overblown and not even Android specific.

안드로이드 구글 어플리케이션의 취약점이 다시 논란이 되고 있다. 그래서 이것에 대해 탐구해보자. 이번 기사에서는 왜 위협이 되는지 안드로이드 외에 부분까지 따져볼 것이다.
 

Update: And besides that, a fix is already being deployed

In case you missed it, researchers in Germany found that if they hooked up a piece of hardware called a packet sniffer to an unprotected WiFi network they could see “authorization tokens” being transmitted in the clear to servers used by certain apps like Google Calendar.

위 기사에서 놓친 부분은 독일 연구원이 만약 취약한 와이파이로 부터 패킹스니퍼를 이용한다면, 구글 일정과 같은 신뢰가는 어플이 사용하는 서버로 전송할 때 쓰이는 인증 토큰을 볼 수 있음을 알아냈다는 것이다. 
 

A token is a long gobbledygook string of characters that the server creates and uses instead of your password (which is kept secret). An attacker watching this token go by can write a program that uses it to pretend to be you for a limited time. For example if you connect to the server with a buggy version of Google Calendar while someone nearby is watching then they can read and write items in your calendar.

보안이 유지될 비밀번호를 대신해 쓰이고 서버가 만든 복잡한 문자가 토큰이다. 제한시간동안 사용자인 척 위장하기 위해 사용되는 프로그램을 이용하면 공격자는 토큰을 볼 수 있다. 예를 들면, 근처에서 누군가 감시하는 동안에 버그투성인 구글 일정을 실행할 경우 일정들을 보거나 새로 작성할 수 있다. 
 

This kind of vulnerability is well known, and many applications have run into it over the years. For example, Facebook and Twitter had the same problem. Their solution was to turn on encryption all the time, not just for the initial password exchange. Encryption increases load on the server and client but obviously in this case it’s worth it.

이런 종류의 취약점은 매우 유명하고, 많은 어플리케이션에서 몇년간 사용하고 있다. 트위터와 페이스북을 예로 들 수 있다. 이 문제의 해결방법은 잠깐 비밀번호를 변경하는 것이 아니라 매 순간 암호화를 해야한다. 암호화는 서버상 접속률이 높아져 무리가 될 수 있지만, 최상의 방법이다.
 

The story is getting a lot of attention because it was noticed on Android, but it’s not, in fact, an Android vulnerability. It’s a security bug in any program that does not encrypt its authorization tokens. Google Calendar, Contacts, and Gallery, which were shipped in all versions of Android prior to 2.3.4, are three such programs. There may be others. The Calendar plug-in for Mozilla Thunderbird, which is a program that runs on PC, Mac, and Linux is another. GMail is NOT affected. Nobody has found the problem in banking and shopping programs either.

이 소식은 안드로이드에서는 주목할 필요가 있지만 사실 안드로이드의 취약점은 아니다. 인증토큰을 암호화 하지 않는 프로그램의 보안이 문제다. 구글 일정, 연락처, 갤러리와 같은 프로그램은 안드로이드 2.3.4 이전 버전 모두에서 사용된다. 모질라 일정 플로그인 선더 버드는 다른 운영체제에서도 동작하며 같은 문제를 가지고 있다 하지만 은행이나 쇼핑 어플리케이션에서는 문제점을 찾을 수 없었다
 

When I first read about the problem I thought “meh, no big deal”, but seeing the coverage today you’d think the world was coming to and end (we have until May 21st, remember?). Here are a few examples (emphasis mine):

내가 처음 이 문제를 접했을 땐 '별 문제 아니네' 라고 생각했지만, 오늘 기사를 보았을 땐 세계종말이 오는 듯 했다.(5월 21일 이였는데 기억하는가?) 여기에 짤막한 예가 있다.

  • SJVN’s article, “Android has a GAPING NETWORK SECURITY HOLE“, says the attack is “quite easy” and tells us “we are so hosed”. He continues by saying “Google, the Android smartphone and tablet makers, and the telecoms must fix this. Now.” First of all, it’s not an Android problem, and to call it “gaping” is to overstate the severity. An attack would require special hardware and/or software, not to mention physical proximity and an unprotected network. Obviously, all security problems are serious and should be fixed.

    SJVN의 기사 '안드로이드는 네트워크 보안의 구멍' 에 따르면  매우 쉽게 우리를 속일 수 있다라고 하였다. 그는 계속해서 "구글과 생산자 그리고 통신사까지 문제점을 고쳐야 한다" 라 하였다. 가장먼저 이 문제는 안드로이드의 문제가 아니고 구멍(Hole)이라는 표현은 매우 과장된 것이며, 일반적인 공격은 특별한 하드웨어 혹은 소프트웨어가 필요하지만 취약한 네트워크와 물리적인 접근은 언급하지 않았다. 정확하게는, '어차피 모든 보안 문제는 심각하고 수정해야 한다'


  •  Adrian Kingsley-Hughes’s article, “99.7% of all Android smartphones vulnerable to SERIOUS DATA LEAKAGE“, says that “A whopping 99.7% of Android smartphones are leaking login data for Google services“. Well, no. Some apps running on Android phones, PCs, and Macs could potentially leak authentication tokens in just the right circumstances. Your login data, by which I mean your userid and password, are not leaked. Adrian admits as much in the second paragraph, but hey, who reads that far.

    Adrian Kingsley-Hughes의 기사 '안드로이드 스마트폰들 중 99.7%는 데이터 유출에 취약할 수 있다' 에서는 안드로이드 스마트폰의 99.7%는 구글 로그인 정보 유출에 취약하다 라고 언급하였다.
    글쎄, 안드로이드 PC 맥에서 구동되는 어플리케이션도 궁극적으로는 인증토큰이 유출될 수 있다. 이것은 당연한 것이다. 유저 아이디와 암호의 로그인 데이터는 유출되지 않는다. 아까 기사에서 두번쩨로 언급하였지만 실제와 거리가 멀다

     
     
  • Gloria Sin’s article, “Most Android devices VULNERABLE TO IDENTIFY THEFT“, warns that “web-based services like GMail” are vulnerable because of “how Android devices handle login information”. That’s not right. The Android operating system is not doing anything with your login information, it’s some apps that run on Android, PC, and Mac. Furthermore, GMail is not affected by this particular bug. Gloria makes it worse by claiming that “problems could arise from hackers changing an unsuspecting person’s password, to gaining access to sensitive emails and private photos.” No, photos maybe, but passwords and emails are safe. There’s nothing here to help somebody steal your identity.

    Gloria Sin의 기사 '대부분의 안드로이드 기기는 도난에 취약할 수 있다' 에서는 G메일과 같은 웹 기반서비스가 안드로이드의 로그인 정보를 다루는 과정에서 취약할 수 있다고 하였다. 그러나, 사실이 아니다. 안드로이드 OS에서는 로그인 정보를 이용하지 않으며, 문제는 PC와 맥, 안드로이드의 일부 어플리케이션 때문이다. 게다가, G메일은 이 문제점에 영향을 받지 않는다. Gloria Sin은 "의심하지 않던 사람의 정보가 바뀌거나 해커가 민감한 이메일과 사적인 사진에 접근할때 비로소 문제점을 알게된다" 라고 과장 주장하였다.
    사진은 문제가 될 수 있지만 암호와 이메일은 안전하다 여기서 도움이 될 만한 정보는 없다. 

     

Should you be worried? Until a patch is available (either through the Market or an Android update) the problem can be avoided by not using the affected applications in a vulnerable situation. What’s a vulnerable situation? Based on the information we have so far, IF you sync your calendar or contacts while using the open WiFi of the local StarBucks or airport, and IF somebody within 50 feet or so of you is waiting for you to do that and is running a packet sniffer, and IF you think they might do harm by looking at your doctor’s appointments and boyfriend’s phone number, THEN you might want to take precautions such as turning off WiFi until you get back home to your secure network. Otherwise, in my opinion it’s not worth getting too worked up about.

걱정되는가? (마켓이나 안드로이드 업데이트를 통해서든지) 패치가 가능할 때까지 취약한 상황에서 영향 받는 어플리케이션은 사용하지 않음으로써 문제점을 피할 수 있다. 취약한 상황은 어떤 것일까? 만약 스타벅스나 공항 같은 공개와이파이를 이용해 일정이나 연락처 어플리케이션을 사용하거나, 누군가 50발자국 이내에 있으면서 너의 행동을 주시한다면 정보가 유출되고 있을 수 있다.
그리고, 만약 의사 진료예약과 남자친구 전화번호 같은 것이 사적으로 침해가 될 수 있다고 생각한다면, 집에 돌아갈때까지 와이파이를 꺼놓는 것과 같이 주의를 기울여야 한다. 


Update:
 Google is rolling out a fix to the problem already, for all phones and computers. According to a spokesman,

대변인에 따르면 모든 휴대폰과 컴퓨터에서 문제점이 이미 해결되었다!
 

“Today [May 18th] we’re starting to roll out a fix which addresses a potential security flaw that could, under certain circumstances, allow a third party access to data available in calendar and contacts. This fix requires no action from users and will roll out globally over the next few days.”

"5월 18일 오늘 우리는 제 3자가 일정이나 연락처를 접근할 수 있는 취약점을 수정하기로 했습니다. 이번 패치는 유저들이 번거롭게 행동할 필요가 없으며, 얼마되지 않아 세계적으로 전파될 것입니다."


The fix is on the server side, and will fix everything except Picasa. Current authentication tokens will be erased and replaced with new ones upon logging back in to the affected service. Go go gadget, instant cloud update!

서버측면에서 패치되는 것이며, Picasa를 제외한 모든 것이 패치됩니다. 기존의 인증 토큰은 지워질 것이며, 토큰은 서비스의 영향을 받는 새로운 곳(안전한 곳) 으로 재배치 될 것입니다. 달려라, 즉시 업데이트를 해라 가제트! 

원문: http://www.zdnet.com/blog/burnette/the-truth-about-the-latest-google-android-security-scare-updated/2270?tag=content;search-results-rivers
네이버의 보안은 개인적으로 철저하게 관리한다라고 생각하였습니다 (최근에는 특정 사건 때문에 바뀌었습니다.) 하지만 결국 주민등록번호까지 유출되는군요. 네이버측에서 암호화를 했을 텐데, 알고리즘 취약점이 있는 것일까요? 아니면 정말로 암호화를 하지 않았던 것일까요.

또한 취약점이 패치되기 전에 제로데이 공격으로 정보를 유출된 것일까? 네이버의 보안에 헛점이 생긴 것일까.

지식인을 하면서 자신의 아이디가 홍보를 하여 네이버측에서 경고를 먹었다며 억울하다는 질문이 자주 올라왔었는데 아마도 이 범인이 아닐까 생각됩니다. 몇년전에 비해 부쩍 늘었는데 그 이유인 것 같습니다.

단순 해킹으로 치부하면 안되겠군요


컴퓨터를 오래 해보았다 하시는 분들은 대충 짐작으로 "백신이 100KB 밖에 안되네?", "파일이 하나밖에 없는 백신도 있나?" 등등 눈치껏 피해가시는 분들도 있습니다만, 대다수는 아이콘 그림과 이름을 그대로 믿기 때문에 피해가 가중되고 있지 않나 생각합니다. 

정보를 유출하는 트로이잔의 종류는 아니지만, 허위 바이러스검사로 결제를 요구하는 허위 백신입니다. 바탕화면을 잠가버리거나 마우스를 잠가버리는 등등 여러가지로 컴퓨터 포맷하는 상황까지 이를 수 있으니 각별히 조심하시기 바랍니다.

http://mcaf.ee/bos97
새로운 기반의 보안시스템이 나오면 어김없이 보안 문제가 거론됩니다. 휴대폰이면 LG와 2G 이용자를 제외하면 유심은 있습니다. 이것을 OTP 인증으로 사용한다니 편리성은 증대되는 것은 확실합니다. 

다음은 유심의 OTP 정보를 탈취하는 말웨어가 등장했다는 기사가 뜰 차례인것 같습니다.



http://mcaf.ee/jy2hp
우리나라에서 인터넷을 사용하면 P2P 낚시홍보페이지, 가짜 백신 액티브엑스 설치페이지 등등 네이버 검색만 해도 나오는 광고프로그램. 가짜백신까지 악성코드로 포함한다면 숫자는 단연 전세계적으로 1위가 아닐까 싶습니다. 

특히나 과거와 달라진 점은 포털사이트 검색으로 나오는 블로그, 카페페이지 마저도 악성코드 유포지로 전락한다는 것입니다. 인기검색어를 그대로 검색할 시에 가장 먼저 나오는 것은 P2P 가입페이지로 이동하는 가짜 다운로드 페이지입니다. 

그런데 우리나가 악성페이지 갯수를 따진다면 단연 1위지만, 실제로 악성페이지에서 유포되는 각종 악성코드의 심각성을 따진다면 북미, 남미가 1위가 아닐까 싶습니다. 우리나라 광고프로그램은 대부분 프로그램추가/제거 항목에서 삭제가 가능하며, 아이콘을 생성하고 프로그램을 몇가지 설치하는 것에 그치는 것이 대부분입니다. 

하지만 북미, 남미에서 유포되는 가짜 백신은 정말로 컴퓨터를 이용못할 정도로 광고를 띄워버립니다. 저도 포맷한 경험이 한번 있을 정로도 심각합니다. 전체 화면을 광고화면으로 덮어버리는가 하면, 백신 프로그램 실행을 막기위해 강제로 실행 권한을 높여버리는 일도 다반사 입니다. 

악성코드의 심각성이 악성페이지 갯수보다는 더 중한 문제라고 저는 생각하기 때문에 정작 심각한건 남미, 북미라고 생각합니다.



http://mcaf.ee/03poy


Google Chromebook - a new class of security risks
 
We are certainly living in interesting times. It was less than a week ago that a rumor appeared that Apple is going to switch to ARM processors for its next generation of laptops.

우리는 흥미로운 시기에 살고 있다. 애플이 다음세대 컴퓨터를 위한 ARM 프로세서를 개발할 것이라는 루머가 나온지 채 반주가 지나지 않았다.
 

Obviously, this has very interesting implications for the future of computing and seems to indicate the increasing need for a computing platform that uses less power and that can be used for a day without the need for charging.

확실히 이 현상은 컴퓨터의 미래와 전력과 비용이 필요없는 컴퓨터의 필요성이 증대됨을 묘사한다. 
 

Earlier today, Google followed up by announcing the Google Chromebook – a netbook (huh, aren’t netbooks dead?) computer concept, built for now by Samsung and Acer around the Atom N750 CPUs. With 2GB of RAM and 16GB of SSD storage, the specifications are somehow low-end, however, this might not be a problem because as Google says in their promo, the web has more storage space than any computer. The price, when these will be available, is believed to be in the range of $400-$500.

최근에 구글은 삼성과 에이서에서 만든 아톰을 장착한 크롬 넷북을 발표하였다(넷북은 죽지 않았나?) 그러나 2GB 램과 16GB SSD 공간은 조금 낮은 사양이다. 하지만, 어떤 컴퓨터보다 많은 공간의 웹 클라우드 서비스 때문에 문제가 되지 않을 것이라고 광고한다. 이 서비스가 사용가능할 때 가격은 400~500달러 사이라 생각한다.
 

When I saw the announcement, I thought to myself – why would anybody ever buy something like this?

발표를 내가 접했을 때, 왜 이것을 구입할까? 라고 생각하였다.
 

Low end hardware, more expensive than other netbooks and definitively not as attractive as an iPad?

저사양, 다른 넷북에 비해 비싸며 아이패드에 비해 매력적이지도 않다.
 

Obviously, the answer here is in the “cloud.” Google Chrome OS is the first commercially available consumer cloud-centric OS. It is designed around the concept of “expendable” terminals that you can lose, drop or simply throw away without fear of losing your data, which is safely stored into the cloud. From this point of view, the operating system could get damaged or even infected with malware and all you have to do is to reinstall it and re-authenticate with the cloud storage to get exactly the same computing experience as before the crash. Here, I would like to make a mention about the “infected with malware” part. Interesting, Google’s promo claims “it doesn’t need virus protection”.

정확하게 정답은 클라우드 이다. 구글 크롬 OS는 먼저 클라우드 기반 OS를 상업화했다. 클라우드에 파일 손실 걱정없이 잃어버릴 수 있는 파일은 클라우드에 저장할 수 있는 확장성을 중심으로 설계했다.
이런 측면에서 본다면, OS가 피해를 입거나 심지어 말웨어에 감염될 수 있고, 클라우드 공간을 다시 설치하는 부분까지는 일반 컴퓨터와 다를바 없다. 하지만 여기에 우리가 말웨어 감염에 관해 조언을 하고 싶다. 흥미로운 것은 구글이 바이러스 보호가 필요없다고 주장한다. 

Sadly, this claim comes at a pretty bad time, since the French company VUPEN Security announced only a few days ago that they’ve cracked the security protections build by Google into Chrome and are now able to infect a computer through a malicious page when it’s browsed.

슬프게도, 이 주장은 안좋게 작용했다. VUPEN 보안팀은 몇일 내로 "우리는 악의적인 페이지를 통해 감염시킬 것이고, 구글 크롬의 보안도 뚫을 것" 이라고 발표하게 된 것이다. 

Google Chrome hacked with sophisticated exploit ]

Of course, some might say, “even if I get infected, I’ll just reinstall, put back my credentials and bye bye virus!”. I agree that is absolutely true – Chrome OS has been designed in such a way that it’s extremely resilient to modifications and has a good self healing capability.

물론 입부는 "바이러스에 감염되어도 재설치하면 모두 원상복귀되겠지" 라고 말할 것이다. 크롬OS는 놀라울 정도의 자신을 회복할 수 있고, 수정할 수 있기 때문에 나도 그 말에 동의한다. 


Several years ago, I wrote an article saying that malware evolves based on three conditions:

몇년 전, 나는 3가지 조건에 따라 진화하는 말웨어 기사를 집필하였다.
 

  • When hardware and operating system evolve (eg. Windows 95 killed boot viruses)
  • When security defenses change (eg. firewalls killed network worms)
  • When people start using computers in a different way (eg. Social networks)

    하드웨어와 OS가 진화할 때, 보안체제가 바뀌었을 때, 다른 방식으로 컴퓨터를 사용할 때 
     

With the Chromebook, we have an interesting case, when all these three conditions are met. It’s a (somehow-)new operating system, it has new security defenses into place (self healing, updates) and it’s used in a different way – the data is not on the computer but in the cloud.

3가지 조건 모두가 만족하는 크롬북은 매우 흥미롭다. 새로운 OS이며, 자체회복과 업데이트라는 새로운 방어체계와 클라우드로 데이터를 저장하는 색다른 방식을 사용하였다.
 

So, what can we expect from a security point of view? Obviously, with all your data being available into the cloud, in one place, available 24/7 through a fast internet link, this will be a goldmine for cybercriminals. All that is necessary here is to get hold of the authentication tokens required to access the cloud account; this is already happening with malware that has become “steal everything” in the past few years. Although the endpoint is now more secure, the situation is that the data is in a more risky place and it will be much easier to silently steal it.

보안측면에서는 어떻게 예상 할 수 있을까? 빠른 인터넷을 통해 24/7을 사용할 수 있는 클라우드 한 공간에 데이터가 저장되는데 이는 범죄자에게는 행운이다. 클라우드 서비스는 곧 우리가 계속해서 클라우드 계정 인증 토큰을 유지해야 한다는 것이고 얼마 지나지 않아 말웨어는 모든 것을 훔칠 수 있다. 결론적으로 데이터가 문제있는 공간에 있는 것은 훔칠 수 있기 때문에 안전해질 필요가 있다는 것이다.


Most of the attacks nowadays focus on infecting the machine and then hiding the presence of the malware for as much time as possible to intercept banking transactions or credit card numbers.

오늘 날, 대부분의 공격은 기기 감염에 초점이 맞추어져 있고, 신용카드 번호나 은행 정보를 훔칠 수 있는 말웨어가 숨어있다.
 

With Cloud centric OS’es, the race will be towards stealing access credentials, after which, it’s game over. Who needs to steal banking accounts, when you have Google Checkout? Or, who needs to monitor passwords, when they’re all nicely stored into the Google Dashboard?

클라우드 기반 OS는 개인정보유출과 씨름할 것이다. 구글 결제할 떼, 은행 계정을 훔칠 필요가 있는 사람은 누굴까? 혹은 구글 대쉬보드에 접속할 때 누가 암호를 지켜볼 필요가 있을까? 
 

Of course, this could seem a bit gloomy, but these problems are inherent to any Cloud-centric OS. Earlier today, I got asked by a friend– “How is Chrome OS from a security point of view, better or worse?”

물론 이것은 매우 우울하게 보일 수 있지만 이 문제는 어떤 클라우드기반 OS에나 있는 문제이다. 친구가 나에게 "크롬 OS는 보안 측면에서 좋을까? 나쁠까? 라고 물었다. 

I answered, “It’s better, but much worse.”

나는 "좋지만 더 나뻐" 라고 대답했다. 

원문: http://www.zdnet.com/blog/security/google-chromebook-a-new-class-of-security-risks/8650?tag=mantle_skin;content

Google Chrome hacked with sophisticated exploit
 
Security researchers from the French pen-testing firm VUPEN have successfully hacked Google’s Chrome browser with what is being described as a sophisticated exploit that bypasses all security features including ASLR/DEP and Chrome’s heralded sandbox feature.

프랑스 VUPEN 보안 연구원들은 ASLR/DEP, 샌드박스를 포함한 모든 보안을 우회하는 정교한 취약점을 이용해 구글 크롬을 해킹히였다고 발표하였다 


VUPEN released a video of the exploit in action to demonstrate a drive-by download attack that successfully launches the calculator app without any user action.

비디오를 다운로드 하는 과정에서 사용자의 허락없이 일정 어플리케이션을 실행 시킬 수 있습니다. 
 

The exploit shown in this video is one of the most sophisticated codes we have seen and created so far as it bypasses all security features including ASLR/DEP/Sandbox (and without exploiting a Windows kernel vulnerability), it is silent (no crash after executing the payload), it relies on undisclosed (0day) vulnerabilities discovered by VUPEN and it works on all Windows systems (32-bit and x64).

이 취약점은 매우 정교하고 모든 보안 시스템을 우회할 수 있고(윈도우즈 커널 사용없이), 증상이 없다. VUPEN에 의해 발견된 친숙하지 못한 제로데이 공격이며, 모든 윈도우에 영향을 받는다. 
 

VUPEN, which sells vulnerability and exploit information to business and government customers, does not plan to provide technical details of the attack to anyone, including Google.

VUPEN은 취약점에 대한 정보를 사업가와 정부에 판매하고 있다. 하지만 자세한 내용은 구글을 포함한 어느 누주에게도 제공할 계획이 없다. 
 

In the video (see below), the company demonstrates the exploit in action with Google Chrome v11.0.696.65 on Microsoft Windows 7 SP1 (x64). The user is tricked into visiting a specially crafted web page hosting the exploit which executes various payloads to ultimately download the Calculator from a remote location and launch it outside the sandbox (at Medium integrity level).

하단의 비디오는 구글크롬 11.0.676.65와 윈도우 7 서비스팩 1(64비트)에서 실험하였다. 유저는 궁극적으로 원격주소지로 부터 일정 어플을 다운받아서 샌드박스가 아닌 환경에서 작동하도록 하는 웹페이지에 속아서 접속하게 된다. 
 

While Chrome has one of the most secure sandboxes and has always survived the Pwn2Own contest during the last three years, we have now uncovered a reliable way to execute arbitrary code on any default installation of Chrome despite its sandbox, ASLR and DEP, VUPEN explained.

크롬은 가장 안전한 샌드박스들 중 하나이자, Pwn2Own 해킹대회에서 3년간 살아남았는데, 샌드박스 환경에도 불구하고 일반적인 다운로드과정에 악의적인 코드를 실행할 수 있음을 발견하였다. 
 

VUPEN made headlines in March this year when a team of its researchers hacked into Apple’s MacBook via a Safari vulnerability to win the CanSecWest PWN2Own contest.

VUPEN은 사파리를 이용하여 맥북을 해킹하여 ConSecWest Pwn2Own 이번 3월달 대회에서 우승한 팀이다
 


원문: http://www.zdnet.com/blog/security/google-chrome-hacked-with-sophisticated-exploit/8626
DDOS가 기업홈페이지를 중심으로 이루어지던 시기가 기억납니다. DDoS 를 풀어주는 대가로 고액을 요구하였는데요. 최근에는 개인정보유출에 민감한 금융권에서의 피해가 늘어나면서 이를 이용한 협박이 늘고 있는 것으로 보입니다. 

채권추심업체를 상대로 협박메일을 보냈는데, 신고로 대처를 했다고는 합니다. 그런데, 문제는 이게 단순한 협박이 아니라 정말로 유출이 이루어졌다는 것입니다. 우리의 개인정보가 쉽게 유출되어 협박에 이용된다니 소름이 돋습니다. 

금융권 외에도 커뮤니티 사이트에도 피해본 곳이 이미 여러군데 있으며, 덮으려다가 피해가 커진 경우도 많습니다. 무작정 덮는 것도 문제지만 공개하는 것도 기업으로써는 무리가 있습니다. 실제로 엄청난 이미지 타격이 있는 만큼 공개하기가 꺼려지는 것이 당연합니다. 

무작정 공개하라는 정부의 조언에도 문제가 있어 보입니다.




http://mcaf.ee/oxa0r

+ Recent posts