말랑카우 농장

Threatpost: <퀄컴 버그에 노출된 안드로이드 스마트 폰>

malangkaw — Wed, 7 Aug 2019 12:27:49 +0900

세 줄 요약

한 보안 연구자는 안드로이드 스마트 폰 및 태블릿 유저들에게 사용자 개입 없이도 악성 패킷 무선 전송을 통해 원격으로 안드로이드 기기를 공격하는 퀄컴(Qualcomm) 칩셋의 버그 QualPwn 에 대한 경고를 내림
해당 취약점은 공격자가 무선으로 WLAN과 모뎀을 손상시키는 것은 물론, WLAN 칩에서 안드로이드 커널을 공격할 수 있는 것이며, 공격을 위한 전제 조건은 공격자와 피해자의 안드로이드 기기가 같은 와이파이 네트워크에서 활성화되어있어야 한다는 점임
WLAN의 입력 크기를 확인하지 않은 버퍼 복사, 버퍼 오버플로우, 그리고 리눅스 커널 문제라고 칭한 세 가지 취약점을 가진 퀄컴 Snapdragon 835와 Snapdragon 845 칩을 가진 패치되지 않은 스마트 폰은 취약하다고 연구자는 말함

기사 원문

링크: https://threatpost.com/android-phones-qualpwn/146989/

Millions of Android Smartphones Vulnerable to Trio of Qualcomm Bugs

Flaws in Qualcomm chipset expose millions of Android devices to a hacking threat.

threatpost.com

Threatpost: <iMessage 해킹에 노출된 90%의 아이폰 유저들>

malangkaw — Tue, 6 Aug 2019 23:15:04 +0900

세 줄 요약

사용자의 개입 없이도 iMessage를 통해서 아이폰에 저장된 사진, 영상, 메모, PDF 등의 파일을 유출시킬 수 있는 버그가 아이폰에서 발견됨
해당 버그는 MacOS와 피해자의 휴대폰 전화번호 혹은 iMessage 계정만 알고 있다면 손쉽게 실행할 수 있는 것으로, 파일 저장 공간을 노출시킨다는 점에서 아이폰 탈옥과 비슷하며 iOS의 가장 중요한 기본 요소 중의 하나인 샌드박스의 무결성에 의심을 품게 함
애플은 7월 22일 해당 취약점에 대한 패치를 내놓았지만, 8월 1일 기준 전체 아이폰 사용자의 9.6%에 해당하는 사람만 업데이트를 한 상태임

관련 기사

Threatpost: <공격자가 원격으로 메세지를 읽을 수 있는 아이폰 취약점>

링크: https://threatpost.com/apple-imessage-remote-attackersread-iphone-messages/146789/

Apple iMessage Allows Remote Attackers to Read iPhone Messages, Images

Remote exploitation can be achieved with no user interaction.

threatpost.com

원문 기사

링크: https://threatpost.com/90-enterprise-iphone-users-imessage-spy-attack/146899/

90% of Enterprise iPhone Users Open to iMessage Spy Attack

Vast majority of Apple iOS users haven't updated to iOS 12.4, leaving themselves wide open to a public exploit.

threatpost.com

Threatpost: <집을 위험에 노출시키는 IoT 스마트 데드볼트(도어락) 취약점>

malangkaw — Fri, 2 Aug 2019 23:56:29 +0900

세 줄 요약

연구자들은 안드로이드 및 iOS 모바일 앱을 통해 원격으로 도어락 비밀번호를 입력하여 문을 열고 잠글 수 있는 유명 스마트 도어락에서 피해자의 휴대전화에 접근만 한다면 도어락 잠금을 풀 수 있는 취약점을 발견함
발견된 총 여섯 개의 취약점은 안전하지 않은 애플리케이션 저장소와 부적절한 API 접근 제어부터 평문 암호 통신까지 포함이 되어있으며, 이 중 두 개의 취약점은 도어락 잠금을 제어하는 중요 데이터를 암호화 하지않고 데이터베이스에 저장하는 점에서 기인하였고, 또 다른 하나는 안드로이드 기기에 저장되는 모든 인터넷 API 통신 및 도어락과의 직접적인 통신 관련 디버깅 로그가 안드로이드 앱에서 접근 가능하다는 점에서 기인하였음
취약점이 발견된 유명 도어락의 벤더사는 취약점에 대한 패치나 대응 방안을 내놓고 있지 않으며, 연구자는 패치가 될 때까지 위험을 방지하기 위해 휴대 전화 잠금을 철저히하고 도어락 비밀번호를 타인과 공유하지 않을 것을 권장함

관련 기사 1.

Threatpost: <스마트하지 않은 스마트 도어락>

링크: https://threatpost.com/smart-lock-turns-out-to-be-not-so-smart-or-secure/146091/

Smart Lock Turns Out to be Not So Smart, or Secure

Pentesters say a keyless smart lock made by U-tec, called Ultraloq, is neither ultra or secure.

threatpost.com

관련 기사 2.

Threatpost: <"깨지지 않는" 스마트 도어락 Tapplock의 주요 보안 패치>

링크: https://threatpost.com/unbreakable-smart-lock-tapplock-issues-critical-security-patch/132918/

“Unbreakable” Smart Lock Tapplock Issues Critical Security Patch

Researchers were able to discover a way to hack the device in less than an hour.

threatpost.com

기사 원문

링크: https://threatpost.com/unpatched-flaws-in-iot-smart-deadbolt-open-homes-to-danger/146871/

Unpatched Flaws in IoT Smart Deadbolt Open Homes to Danger

Researchers are warning that unpatched flaws found in the Hickory Smart Bluetooth Enabled Deadbolt allow an attacker with access to a victim's phone to break into their houses.

threatpost.com

Threatpost: <레딧과 SMS 문자의 게임 링크로 퍼지는 안드로이드 랜섬웨어>

malangkaw — Thu, 1 Aug 2019 21:21:35 +0900

세 줄 요약

최근 레딧(Reddit)이나 안드로이드 개발자 포럼 XDA Developers에 성인용 게임 혹은 기술 관련 토픽으로 연결되는 링크를 올려 피해자의 파일들을 암호화시키는 안드로이드 랜섬웨어 Android/Filecoder.C 가 퍼지고 있음
피해자의 연락처를 이용해 SMS 문자로 악성 링크를 더욱 퍼뜨리는 이 랜섬웨어는 아직 좁은 타겟층과 실행상 결함으로 피해가 제한적이지만, 랜섬웨어 운영자가 더 넓은 범위의 사용자를 타겟으로 삼는다면 심각한 위협이 될 것
.zip 파일, .rar 파일, 50MB 이상의 파일 혹은 150KB 이하의 JPEG, JPG, PNG 파일을 제외한 DOC, PPT, JPEG 등의 파일을 암호화시키며 72시간 후에 모든 데이터를 삭제시키고 애플리케이션을 삭제해도 암호화되지 않는 이 랜섬웨어를 피하기 위해 기기를 항상 최신 버전으로 업데이트하고 Google Play를 통해 애플리케이션을 다운할 것을 연구자들은 조언함

관련 기사 1.

Threatpost: <2천 5백만 안드로이드 폰을 감염시켜 악성 광고를 유포한 악성 소프트웨어 Agent Smith>

링크: https://threatpost.com/malware-agent-smith-android-ads/146359/

Agent Smith Malware Infects 25M Android Phones to Push Rogue Ads

Researchers say malware infects phones in order to sneak ads on devices for profit.

threatpost.com

관련 기사 2.

Threatpost: <인증서에 자체 서명이 가능한 안드로이드 스파이웨어 Monokle>

링크: https://threatpost.com/monokle-android-spyware/146655/

Unique Monokle Android Spyware Self-Signs Certificates

Researchers have linked the surveillance tool to a Russian tech firm that has been sanctioned for interfering with the 2016 U.S. presidential election.

threatpost.com

원본 기사

링크: https://threatpost.com/android-ransomware-spreads-via-sex-simulation-game-links-on-reddit-sms/146774/

Android Ransomware Spreads Via 'Sex Simulation Game' Links on Reddit, SMS

A new strain of ransomware is being distributed to Android users via online forums and SMS messages.

threatpost.com

Threatpost: <미 국토 안보부, 경비행기 해킹 경고>

malangkaw — Thu, 1 Aug 2019 00:15:58 +0900

세 줄 요약

미국 국토 안보부는 지난 화요일 경비행기에 물리적 접근이 가능한 공격자로부터 비행기 원격 측정 데이터 조작 등의 계측 제어 시스템 해킹으로 비행기 제어 권한을 빼앗길 수 있는 취약점이 존재한다고 경고를 내림
계측 제어 시스템(CAN, Controller Area Network)란, 호스트 컴퓨터가 없을 시 마이크로 컨트롤러와 기기가 서로 응용 프로그램 안에서 소통할 수 있도록 해주는 자동차나 경비행기 하드웨어의 일부분으로, 계측 제어 시스템 해킹은 지난 2014년 Jeep 해킹 사건의 배후이기도 함
조사의 일부분으로 유통되고 있는 두 항공 전자 시스템에 엔진 원격 측정값, 나침반과 고도값, 대기 속도 그리고 임계각의 허위 값 주입을 시도한 결과 성공하였고, 연구자는 보안 강화를 위해 개방형인 CAN의 특성을 고려하여 메시지 인증 프로토콜(Message Authentication Protocol) 도입과 CAN의 데이터 처리 양 및 속도를 좌우하는 CAN FD(CAN 프로토콜, CAN with Flexible Date-Rates)의 속도를 8 바이트에서 64 바이트로의 증가를 권함

관련 기사

Threatpost: <자동차 원격 공격의 시대>

링크: https://threatpost.com/car-hacking-enters-remote-exploitation-phase/107626/

Car Hacking Enters Remote Exploitation Phase

Researchers Charlie Miller and Chris Valasek today at Black Hat talked about their research on the remote attack surfaces present in popular automobiles.

threatpost.com

기사 원문

링크: https://threatpost.com/dhs-warning-small-aircraft-hacking/146795/

DHS Warning: Small Aircraft are Ripe for Hacking

Hackers with physical access to small aircraft can easily hack the plane's CAN bus system and take control of key navigation systems.

threatpost.com

Threatpost: <구글을 카드 도용 방법으로 쓰는 최근 카드 도용자>

malangkaw — Tue, 30 Jul 2019 14:57:53 +0900

세 줄 요약

구글 사이트처럼 위장한 악성 도메인을 이용하여 방문자를 속이는 것이 최신 카드 도용 수법
사이버 범죄자들은 유명한 웹 사이트의 주소를 한 글자 바꾸어 악성 웹 사이트로 사용하는 타이포 스쿼팅(Typosquatting) 방법을 사용해 실수로 웹 사이트에 들어온 사용자들을 속임
공격자는 온라인 이커머스로 들어오는 정보를 저장하고 탈취하기 위해 JavaScript를 사용하고, 2018년 기준 온라인 이커머스 플랫폼 Magento의 83%가량되는 웹 사이트가 취약하다고 함.

기사 원문

링크: https://threatpost.com/google-sites-card-skimming-thieves/146694/

‘Google’ Sites Are the Latest Ploy by Card-Skimming Thieves

A credit-card skimmer on Magento sites was found loading JavaScript from a legitimate-seeming Google Analytics domain.

threatpost.com

Threatpost: <개인정보 도둑의 쉬운 먹잇감이 되는 게이머들>

malangkaw — Mon, 29 Jul 2019 18:56:53 +0900

세 줄 요약

보안이 아닌 게임에 관심이 많은 어린 게임 유저들의 게임 아이디, 특히 마인크래프트, 포트 나이트, 룬 스케이프의 계정은 개당 최대 $40(약 4만 원)에 거래됨
연구에 따르면 2017년 11월 이후 게임 웹 사이트에 12억 건의 크레덴셜 스터핑 공격이 행해졌다고 함
크고 작은 게임 회사들이 사용자들의 계정이 해킹으로부터 위험하다는 것을 인지하고 있지만, 사용자에게 패스워드 리셋이나 카드 CVV 번호를 통한 계정 인증 등을 요구하는 등의 단계를 추가하면 고객 이탈과 수익 감소로 이어지기 때문에 기피하고 있다고 함

기사 원문

링크: https://threatpost.com/gamers-are-easy-prey-for-credential-thieves/146700/

Gamers Are Easy Prey for Credential Thieves

Gamers are easy pickings for credential crooks, thanks to lax security hygiene and poor gaming company practices.

threatpost.com

Threatpost: <악성 스팸 활동에 쓰이는 유명 파일 공유 서비스 WeTransfer>

malangkaw — Fri, 26 Jul 2019 19:24:50 +0900

세 줄 요약

공격자는 파일 업로드 후 이메일 링크를 통해 해당 파일을 공유하는 유명 파일 공유 서비스 WeTransfer의 방식을 스팸 이메일 차단 우회 기법으로 악용하고 있음
공격자는 이메일 수신, 발신 주소를 넣고 수신자가 혹할만한 내용(ex. 검토 필요한 파일 등)을 작성하여 피해자가 의심 없이 '파일 받기' 버튼을 누른 후 WeTransfer 다운로드 페이지로 리디렉트 되도록 하여 HTM 혹은 HTML 파일 다운로드를 유도한 후, 피해자가 다운로드한 .html 파일을 열면 피싱 웹 사이트로 리디렉트 시켜 Office 365 로그인 요구 등을 통해 계정 정보 탈취를 시도함
관계자는 이러한 공격 수단이 WeTransfer 등의 유명 웹 사이트는 잠재적 위험으로 이메일 게이트웨이에서 잘 간주되지 않는 점을 악용한 것이라고 말함

기사 원문

링크: https://threatpost.com/popular-file-sharing-service-wetransfer-used-in-malicious-spam-campaigns/146671/

Popular File-Sharing Service WeTransfer Used in Malicious Spam Campaigns

WeTransfer is being used by hackers to circumvent email gateways looking to zap malicious links.

threatpost.com

Threatpost: <'Spearphone' 도청 가능한 삼성, LG 안드로이드 폰>

malangkaw — Thu, 25 Jul 2019 21:11:20 +0900

세 줄 요약

가속도계와 스피커가 가까이 위치한 삼성과 LG의 스마트폰 몇몇 기종(LG G3, 삼성 갤럭시 노트4/S6)에서 안드로이드 기기에 내장된 동작 센서가 스마트폰 스피커에서 나오는 소리의 잔향을 감지하는 점을 이용하여 대화를 추측하는 스피어 폰 형태의 새로운 도청 방식이 발견됨.
가속도계(동작 센서)는 항상 켜져 있고 데이터 제공에 권한이 필요 없기 때문에 악성 애플리케이션이나 웹 사이트가 쉽게 잔향을 실시간으로 듣기, 녹음 및 생중계가 가능하고, 이렇게 얻은 자료는 분석되어 사적인 정보 또한 추론될 수 있음.
공격자가 악성 앱 다운로드를 유도하거나 피해자가 악성 웹 사이트를 브라우징하고 있을 때 JavaScript를 통해 동작 센서 감지를 추적을 통해 정보를 추론할 수 있는 이 취약점은 센서에 권한 제한을 둠으로써 위험도를 경감시킬 수 있지만, 이 경우 스마트폰 편의성에 영향을 주기 때문에, 잠재적 방어 방법은 하드웨어 재 설계임.

기사 원문

링크: https://threatpost.com/samsung-lg-android-spearphone-eavesdropping/146625/

Popular Samsung, LG Android Phones Open to ‘Spearphone’ Eavesdropping

A Spearphone attacker can use the accelerometer in LG and Samsung phones to remotely eavesdrop on any audio that's played on speakerphone, including calls, music and voice assistant responses.

threatpost.com

Threatpost: <VLC 미디어 플레이어, 패치되지 않은 치명적인 원격 코드 실행 취약점(RCE) 발견>

malangkaw — Wed, 24 Jul 2019 23:02:45 +0900

세 줄 요약

오픈소스 미디어 플레이어 VLC에서 원격 코드 실행 및 악의적 행위가 가능한 치명적인 취약점이 발견되었고, 이것은 심지어 아직 패치가 존재하지 않는 상황.
CVSS 3.0에서 10점 만점에 9.8점에 해당하는 위험도 점수를 받은 해당 취약점은 원격이자 익명의 공격자가 임의의 코드를 실행, 서비스 거부(Denial of Service) 상태를 만들기, 정보 유출 또는 파일 변조를 할 수 있다고 함.
메모리 버퍼 범위의 문제로 밝혀진 해당 취약점에 대한 패치는 60% 정도 완성된 상태이고, 지난 6월 발견된 두 가지(Out-of-bound 쓰기 취약점, 스택-버퍼 오버플로우 취약점) 심각한 취약점 패치 이후 나타난 최신 취약점임.

관련 기사

Threatpost: <VLC 플레이어, 두 개의 심각한 취약점 패치하다>

링크: https://threatpost.com/vlc-player-gets-patched-for-two-high-severity-bugs/145518/

VLC Player Gets Patched for Two High Severity Bugs

Popular media player receives 33 security bug fixes, two of which are rated high severity.

threatpost.com

기사 원문

링크: https://threatpost.com/vlc-media-player-plagued-by-unpatched-critical-rce-flaw/146611/

VLC Player Has Critical RCE Flaw With No Patch Available

A patch does not yet exist for a critical buffer overflow vulnerability in VLC Media Player that could enable remote code execution.

threatpost.com