2월, 2020의 게시물 표시

BlueFrag, 안드로이드 Bluetooth의 원격코드 실행 취약점

CVE-2020-0022 2.6일, Jan Ruge는 Android 운영체제의 블루투스 기능에서 원격코드 실행이 가능한 취약점에 대한 보고서를 발표했다. 이 취약점은 BlueFrag라고 불리며, 2월 안드로이드 보안 패치에서 수정됐다. BlueFrag의 위험도는 안드로이드 버전에 따라 다르다. 안드로이드 8, 9에서는 임의의 코드를 실행할 수 있어서 위험도가 높다. 안드로이드 10에서는 그저 블루투스 기능을 마비시킬 뿐이다. 8 이전의 구 버전도 취약하지만, 테스트되지는 않았다. 블루프랙을 악용하려면, 해커는 블루투스 신호 도달 거리 내에 있어야 하며, 표적 기기의 Bluetooth MAC 주소를 알아야 한다. 원격코드 실행 안드로이드 8, 9에서는 해커가 블루투스를 통해 임의의 코드를 실행할 수 있다. 블루투스는 높은 권한으로 실행되기 때문에 여러 가지 악행이 가능하다. 이때 피해자의 어떠한 상호작용도 필요치 않다. 블루프랙도 블루본(BlueBorne)과 마찬가지로 사진을 몰래 빼내는 등 정보 탈취가 가장 직접적인 위협일 것이다. 웜(worm, 스스로 퍼지는 악성코드)을 퍼뜨릴 잠재적 가능성도 있지만, 블루투스는 앱을 실행하는 권한은 없기 때문에 쉽지는 않을 것이다(관1). Jan Ruge는 다음과 같이 설명했다. "This vulnerability can lead to theft of personal data and could potentially be used to spread malware (Short-Distance Worm)." 블루투스는 높은 권한을 갖긴 하지만, 루트(root) 권한은 아니다. 따라서 악성코드 설치 등 본격적인 해킹을 위해서는 다른 권한상승 취약점을 함께 악용해야 한다. Jan Ruge는 다음과 같이 설명했다. "Hi, the Bluetooth daemon is a process on the Android system that runs in the background ...

구글 포토 버그로 타인에 노출

이미지
데이터 다운로드시 타인의 비디오 포함 2.3일부터 구글은 사용자들에게, Google Photo에 저장된 동영상이 다른 사람에게 다운로드됐을 수 있다고 알리기 시작했다. 이 사건은 2019.11.21~11.25일 동안 takeout 기능의 오작동으로 발생했다. takeout 기능은 한글판에서는 '데이터 다운로드'라고 하는데, 구글 서비스에 저장된 모든 정보를 PC로 다운로드하는 기능이다. 일정, 연락처, 사진, 동영상 등 구글을 이용하면서 저장한 모든 정보가 대상이며, 전부 혹은 필요한 것만 선택적으로 다운로드할 수 있다. 백업용으로 유용하고, 구글 계정을 옮기거나 삭제할 때도 사용할 수 있다. 그런데 문제의 기간 동안 '데이터 다운로드'를 한 사용자에게는, 다른 사람의 구글 포토에 있는 동영상이 무작위로 포함될 수 있었다. 다운로드한 사용자 입장에서는 백업이 제대로 되지 않은 것이고, 상대방 입장에서는 개인 정보 노출인 것이다. 구글은 해당 기간에 '데이터 다운로드'를 한 사용자들에게, 기존 다운로드는 삭제하고 다시 다운로드하라고 권고했다. 클라우드 신뢰성에 심각한 문제 Cloud에 저장한 개인 데이터가 타인에게 노출될 수 있다는 것은 중대한 문제다. 이런 버그뿐만 아니라 클라우드 서버 해킹, 내부 직원의 무단 접근 등에 의해서도 정보 유출은 일어날 수 있다. 클라우드에 저장한 중요한 워드, 엑셀 등 파일에는 암호를 설정하는 것과 같은 별도의 대비책이 필요하다. 참고 자료 Google Bug Sent Private Google Photos Videos to Other Users

Avast를 믿을 수 있을까

나름 공신력 있는 글로벌 보안회사 아바스트(Avast)가 계속 말썽을 일으키고 있다. 사람 하는 일에 잘못이나 실수가 있을 수 있고, 이는 보안 회사도 마찬가지다. 그러나 이런 일이 반복된다면 더는 믿을 수 없는 것이 된다. 최근 아바스트가 자사 보안 제품들을 통해 수집한 개인 정보를, Jumpshot이라는 자회사를 통해 다른 회사들에게 판매한 사실이 드러났다. 여기에는 검색 활동, 시청한 동영상, 방문한 사이트, 다운로드한 파일 목록 등이 포함될 수 있다. 2020.1.29일 아바스트는 결국 점프샷을 폐쇄한다고 공식 발표했다. 2019.12월에는 아바스트 보안 앱에 딸려있는 크롬/파이어폭스용 확장 프로그램이, 과도한 정보를 수집해 아바스트 서버로 전송한 이유로, 구글과 모질라 스토어에서 삭제됐다. 얼마 후 수집하는 정보를 대폭 줄이고, 사용자에게 명확히 알림으로써 다시 스토어에 복귀할 수 있었다. 아바스트는 CCleaner(씨클리너)로도 해킹과 프라이버시 이슈로 수차례 문제를 일으킨 바 있다. 보안 제품은 특성상 시스템에서 높은 권한으로 실행되고, 많은 정보를 수집한다. 예를 들어 문서 파일에 악성코드 감염이 의심되는 경우, 문서 일부 내용이 샘플과 함께 보안 회사에 전송될 수 있다. 따라서 신뢰성이 아주 중요하다. 수집된 정보가 익명으로 처리되고, 외부에 노출되지 않도록 잘 관리한다는 믿음이 있어야 하는 것이다. 관련 자료 CCleaner에 대한 공급망 공격 씨클리너(CCleaner), 개인정보 수집 이슈 참고 자료 Avast Shuts Down Jumpshot After Getting Caught Selling User's Data