말랑카우 농장

세 줄 요약 한 보안 연구자는 안드로이드 스마트 폰 및 태블릿 유저들에게 사용자 개입 없이도 악성 패킷 무선 전송을 통해 원격으로 안드로이드 기기를 공격하는 퀄컴(Qualcomm) 칩셋의 버그 QualPwn 에 대한 경고를 내림 해당 취약점은 공격자가 무선으로 WLAN과 모뎀을 손상시키는 것은 물론, WLAN 칩에서 안드로이드 커널을 공격할 수 있는 것이며, 공격을 위한 전제 조건은 공격자와 피해자의 안드로이드 기기가 같은 와이파이 네트워크에서 활성화되어있어야 한다는 점임 WLAN의 입력 크기를 확인하지 않은 버퍼 복사, 버퍼 오버플로우, 그리고 리눅스 커널 문제라고 칭한 세 가지 취약점을 가진 퀄컴 Snapdragon 835와 Snapdragon 845 칩을 가진 패치되지 않은 스마트 폰은 취약하다고 ..

보안 기사 스크랩 2019. 8. 7. 12:27

세 줄 요약 사용자의 개입 없이도 iMessage를 통해서 아이폰에 저장된 사진, 영상, 메모, PDF 등의 파일을 유출시킬 수 있는 버그가 아이폰에서 발견됨 해당 버그는 MacOS와 피해자의 휴대폰 전화번호 혹은 iMessage 계정만 알고 있다면 손쉽게 실행할 수 있는 것으로, 파일 저장 공간을 노출시킨다는 점에서 아이폰 탈옥과 비슷하며 iOS의 가장 중요한 기본 요소 중의 하나인 샌드박스의 무결성에 의심을 품게 함 애플은 7월 22일 해당 취약점에 대한 패치를 내놓았지만, 8월 1일 기준 전체 아이폰 사용자의 9.6%에 해당하는 사람만 업데이트를 한 상태임 관련 기사 Threatpost: 링크: https://threatpost.com/apple-imessage-remote-attackersread..

보안 기사 스크랩 2019. 8. 6. 23:15

세 줄 요약 연구자들은 안드로이드 및 iOS 모바일 앱을 통해 원격으로 도어락 비밀번호를 입력하여 문을 열고 잠글 수 있는 유명 스마트 도어락에서 피해자의 휴대전화에 접근만 한다면 도어락 잠금을 풀 수 있는 취약점을 발견함 발견된 총 여섯 개의 취약점은 안전하지 않은 애플리케이션 저장소와 부적절한 API 접근 제어부터 평문 암호 통신까지 포함이 되어있으며, 이 중 두 개의 취약점은 도어락 잠금을 제어하는 중요 데이터를 암호화 하지않고 데이터베이스에 저장하는 점에서 기인하였고, 또 다른 하나는 안드로이드 기기에 저장되는 모든 인터넷 API 통신 및 도어락과의 직접적인 통신 관련 디버깅 로그가 안드로이드 앱에서 접근 가능하다는 점에서 기인하였음 취약점이 발견된 유명 도어락의 벤더사는 취약점에 대한 패치나 대..

보안 기사 스크랩 2019. 8. 2. 23:56

세 줄 요약 최근 레딧(Reddit)이나 안드로이드 개발자 포럼 XDA Developers에 성인용 게임 혹은 기술 관련 토픽으로 연결되는 링크를 올려 피해자의 파일들을 암호화시키는 안드로이드 랜섬웨어 Android/Filecoder.C 가 퍼지고 있음 피해자의 연락처를 이용해 SMS 문자로 악성 링크를 더욱 퍼뜨리는 이 랜섬웨어는 아직 좁은 타겟층과 실행상 결함으로 피해가 제한적이지만, 랜섬웨어 운영자가 더 넓은 범위의 사용자를 타겟으로 삼는다면 심각한 위협이 될 것 .zip 파일, .rar 파일, 50MB 이상의 파일 혹은 150KB 이하의 JPEG, JPG, PNG 파일을 제외한 DOC, PPT, JPEG 등의 파일을 암호화시키며 72시간 후에 모든 데이터를 삭제시키고 애플리케이션을 삭제해도 암호화..

보안 기사 스크랩 2019. 8. 1. 21:21

세 줄 요약 미국 국토 안보부는 지난 화요일 경비행기에 물리적 접근이 가능한 공격자로부터 비행기 원격 측정 데이터 조작 등의 계측 제어 시스템 해킹으로 비행기 제어 권한을 빼앗길 수 있는 취약점이 존재한다고 경고를 내림 계측 제어 시스템(CAN, Controller Area Network)란, 호스트 컴퓨터가 없을 시 마이크로 컨트롤러와 기기가 서로 응용 프로그램 안에서 소통할 수 있도록 해주는 자동차나 경비행기 하드웨어의 일부분으로, 계측 제어 시스템 해킹은 지난 2014년 Jeep 해킹 사건의 배후이기도 함 조사의 일부분으로 유통되고 있는 두 항공 전자 시스템에 엔진 원격 측정값, 나침반과 고도값, 대기 속도 그리고 임계각의 허위 값 주입을 시도한 결과 성공하였고, 연구자는 보안 강화를 위해 개방형인..

보안 기사 스크랩 2019. 8. 1. 00:15

세 줄 요약 구글 사이트처럼 위장한 악성 도메인을 이용하여 방문자를 속이는 것이 최신 카드 도용 수법 사이버 범죄자들은 유명한 웹 사이트의 주소를 한 글자 바꾸어 악성 웹 사이트로 사용하는 타이포 스쿼팅(Typosquatting) 방법을 사용해 실수로 웹 사이트에 들어온 사용자들을 속임 공격자는 온라인 이커머스로 들어오는 정보를 저장하고 탈취하기 위해 JavaScript를 사용하고, 2018년 기준 온라인 이커머스 플랫폼 Magento의 83%가량되는 웹 사이트가 취약하다고 함. 기사 원문 링크: https://threatpost.com/google-sites-card-skimming-thieves/146694/ ‘Google’ Sites Are the Latest Ploy by Card-Skimming..

보안 기사 스크랩 2019. 7. 30. 14:57

세 줄 요약 보안이 아닌 게임에 관심이 많은 어린 게임 유저들의 게임 아이디, 특히 마인크래프트, 포트 나이트, 룬 스케이프의 계정은 개당 최대 $40(약 4만 원)에 거래됨 연구에 따르면 2017년 11월 이후 게임 웹 사이트에 12억 건의 크레덴셜 스터핑 공격이 행해졌다고 함 크고 작은 게임 회사들이 사용자들의 계정이 해킹으로부터 위험하다는 것을 인지하고 있지만, 사용자에게 패스워드 리셋이나 카드 CVV 번호를 통한 계정 인증 등을 요구하는 등의 단계를 추가하면 고객 이탈과 수익 감소로 이어지기 때문에 기피하고 있다고 함 기사 원문 링크: https://threatpost.com/gamers-are-easy-prey-for-credential-thieves/146700/ Gamers Are Easy ..

보안 기사 스크랩 2019. 7. 29. 18:56

세 줄 요약 공격자는 파일 업로드 후 이메일 링크를 통해 해당 파일을 공유하는 유명 파일 공유 서비스 WeTransfer의 방식을 스팸 이메일 차단 우회 기법으로 악용하고 있음 공격자는 이메일 수신, 발신 주소를 넣고 수신자가 혹할만한 내용(ex. 검토 필요한 파일 등)을 작성하여 피해자가 의심 없이 '파일 받기' 버튼을 누른 후 WeTransfer 다운로드 페이지로 리디렉트 되도록 하여 HTM 혹은 HTML 파일 다운로드를 유도한 후, 피해자가 다운로드한 .html 파일을 열면 피싱 웹 사이트로 리디렉트 시켜 Office 365 로그인 요구 등을 통해 계정 정보 탈취를 시도함 관계자는 이러한 공격 수단이 WeTransfer 등의 유명 웹 사이트는 잠재적 위험으로 이메일 게이트웨이에서 잘 간주되지 않는 ..

보안 기사 스크랩 2019. 7. 26. 19:24