Flaw in the Quebec vaccine passport: analysis
캐나다 퀘벡주에서 사용하는 백신 접종 여권 모바일 앱(VaxiCode 및 VaxiCode Verif)에서 취약점이 발견되었습니다.
VaxiCode Verif 앱은 2021년 9월 1일부터 모든 비필수 서비스 판매자가 사용하는 백신 접종 여권의 보관 및 검증을 허용하는 모바일 애플리케이션입니다.
VaxiCode와 VaxiCode Verif는 동일한 소스코드를 사용해 iOS 및 Android 앱을 생성하는 프레임워크를 사용하므로, 두 플랫폼의 앱은 동일합니다.
디지털 서명 방식으로 암호화되는 VaxiCode Verif의 서명은 비대칭 암호화를 기반으로 하며, 키 쌍이 사용됩니다.
이 쌍은 데이터 서명을 위해 발급자(퀘벡 정부)만이 소유하고 있는 개인 키로 구성되며, 서명이 개인 키로 이루어졌는지 확인하는 공개 키로 구성됩니다.
취약점은 각 정부가 여권에 서명하고 여권을 검증하기 위한 자체 키 쌍을 가져야 하는 점을 악용하면서 발생할 수 있습니다.
공격자가 키 쌍을 생성해 공개키를 임의의 위치에서 사용할 수 있도록 한 후, QR 코드 형태로 두 개의 SMART Health Card를 생성합니다.
백신 여권 인증 과정에서 공격자는 먼저 첫 번째 QR 코드를 제시합니다.
첫 번째 QR 코드가 거부되더라도 앱이 공격자의 공개키를 다운로드해 신뢰할 수 있는 키 체인에 추가하므로 공격자는 두 번째 QR 코드를 제시해 인증을 통과할 수 있습니다.
Akinox는 패치 버전의 iOS용 VaxiCode Verif 1.0.2를 공개했으며, 이 업데이트는 발급자의 URL에서 공개 키를 다운로드하는 기능을 완전히 제거했습니다.
코로나19 확산을 방지하기 위해 백신 접종 여권을 발행할 예정인 국가, 기관들에서는 이러한 취약점에 유의하여 안전한 프로그램을 구현해야 할 것입니다.
출처:
https://www.welivesecurity.com/2021/08/31/flaw-quebec-vaccine-passport-vaxicode-verif-analysis/
libssh 힙 버퍼오버플로우(CVE-2021-3634) 취약점 주의! (0) | 2021.09.02 |
---|---|
원격 공격자가 클라이언트 기기를 충돌 시킬 수 있는 Linphone SIP 스택 취약점 발견 (0) | 2021.09.02 |
중국 <데이터 보안법> , 9월 1일부터 시행 (0) | 2021.09.01 |
Fortress S03 Wi-Fi 홈 시큐리티 시스템, 원격으로 비활성화 가능해 (0) | 2021.09.01 |
HPE, Aruba AirWave 관리자 플랫폼의 Sudo 취약점 경고해 (0) | 2021.09.01 |
댓글 영역