상세 컨텐츠
본문
프라이버시의 재앙을 가져올 수 있는 충격적인 안드로이드 버그 및 해결 방법
"Shocking" Android browser bug could be a "privacy disaster": here's how to fix it
웹 보안은 ‘동일 오리진 정책’에 매우 의존하고 있습니다. X 사이트의 자바 스크립트와 같은 웹 컨텐츠가 사용자의 브라우저를 통해 사이트 X로 이미 보내진 정보에 접근 가능하다는 것입니다. 사이트 Y에 사이트 X의 컨텐츠를 가져오는 것은 쉬운데, Iframe, inline frame을 아래와 같이 사용하면 됩니다.
이로 인해 공격자들은 사용자에게 브라우저가 세션 쿠키와 같은 중요한 사용자 정보를 공격자의 정보와 함께 믹스 하도록 유도하는 웹페이지를 쉽게 보낼 수 있습니다. 공격자들은 그들의 페이지에 자바 스크립트를 설치하여 사용자가 제공한 정보 중 로그인 쿠키 등의 프라이빗 데이터를 훔쳐낼 수 있게 됩니다.
보안 연구원인 Rafay Baloch는 다른 사이트의 컨텐츠를 iframe으로 불러오고, iframe 밖에서 자바스크립트 속임수를 이용하여 iframe 안에서 문서 객체 모델(DOM: Document Object Model) 데이터를 읽어내는 방법을 발견했습니다. 그는 URL 텍스트 스트링을 이용한 자바 스크립트 콜백을 NUL이나 ‘0’으로 시작하여 등록하는 방식을 사용했습니다.
이에 영향을 받는 브라우저가 설치되어 있다면 사용을 중단하는 것이 좋습니다. [설정] ▶ [앱] ▶ [ALL] 메뉴로 이동하여 ‘브라우저’앱을 ‘비활성화’ 하면 됩니다.
출처 : Naked Security
'국내외 보안동향' 카테고리의 다른 글
| [해외보안동향] 샤오미(xiaomi) 서버에 제로데이 취약점이 존재한다고 폭로한 대만 보안연구원 (0) | 2014.11.06 |
|---|---|
| [해외보안동향] Sony Xperia 스마트폰에서 유저 데이터를 모으는 바이두 스파이앱, 소니측에서는 '예상치 못한 행동'이라고 밝혀 (0) | 2014.10.31 |
| CVE-2014-4114 취약점 공격의 진화 (1) | 2014.10.24 |
| SSLv3 'POODLE' 취약점 주요 정보 (0) | 2014.10.17 |
| [해외보안동향] 야후 해킹과 배시버그 취약점의 관계는? (0) | 2014.10.08 |
댓글 영역