코타나(Cortana) 해킹 취약점

Windows 10의 음성 비서인 코타나에서 잠금화면을 우회할 수 있는 취약점이 발견됐다. CVE-2018-8140으로 6월 12일 맥아피가 발표했다. 같은 날 마이크로소프트는 이를 해결한 패치를 배포했다.

이 취약점을 이용하면 코타나로부터 정보를 입수하고, 잠금화면에서 앱을 실행하며, 암호를 재설정해 맘대로 로그인할 수 있다. 잠금화면만 믿고 잠시 자리를 비웠다가 호되게 당할 수도 있는 것이다.

원격으로 실행되는 것은 아니고 물리적인 조작이 필요하다. 취약점은 잠금화면에서 코타나가 실행 시작하는 부분에 있다. 코타나의 'tap and say'를 클릭하고 단어를 입력하면 검색 결과(문서와 기타 파일)가 나오는데, 검색 결과물을 훓어보고 그의 귀결점을 볼 수 있다. 그런 식으로 계속 진행해서 중요한 파일과 정보에 접근하는 것이다.

기기가 잠겨 있을 때는 말 그대로 아무 작동도 하지 않아야 좋은 것이다. 그런데, 조그만 편의를 위해 명령을 기다리는 통로를 열어두는 데에서 문제가 생기는 것이다. 이런 태도를 고수하는 한 비슷한 취약점은 계속 생길 것이다. 단순한 게 최고다.


참고 자료

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다