카메라 360, 민감 데이터 유출
Another Popular Android Application, Another Leak
최근 여러 인기있는 안드로이드 앱들이 민감 정보를 유출하는 것으로 밝혀진 가운데, 또 다른 인기 앱인 "Camera360 Ultimate(이하 Camera360)" 앱이 민감 정보를 유출하며, 악의적인 목적을 가진 다른 사용자가 타인의 Camera360 클라우드 계정 및 사전에 승인되지 않은 접근을 할 수 있는 취약점이 존재하는 것으로 드러났습니다.
이 취약점은 MITM 공격을 통하여 악용이 가능하며, 이는 사용자 프라이버시를 침해할 수 있는 매우 심각한 위협입니다.
Camera360은 매우 인기있는 사진 촬영 및 편집 앱으로, 전 세계적으로 수백만명이 사용하고 있으며, www.cloud.camera360.com에 계정을 생성하면, 사진을 저장할 수 있는 클라우드도 무료로 제공합니다.
사용자 클라우드에 접근을 하려면, 사용자의 계정 및 비밀번호를 입력해야 합니다. 하지만, 앱에서 클라우드에 접근할 때, 클라우드는 안드로이드 시스템 로그(logcat) 및 네트워크 트래픽에 민감 데이터를 암호화 하지 않은 상태로 주고 받습니다.
이 때문에, logcat이나 네트워크 트래픽 캡쳐를 통하여, 사용자의 아이디와 토큰값을 훔칠 수 있게 되며, 이 훔친 사용자 아이디와 토큰값을 이용하면 클라우드에 저장되어 있는 사용자의 사진들 중 '시크릿 앨범'을 제외한 모든 사진들을 다운로드 받을 수 있습니다.
'시크릿 앨범'은 중요한 이미지들을 저장 및 보호하기 위하여 한번 더 암호화가 걸려있는 앨범인데, Camera360은 클라우드에 사진을 저장할 때 시크릿모드로 저장하지 않도록 기본 설정이 되어 있습니다.
참고 :
https://www.fireeye.com/blog/threat-research/2015/08/another_popular_andr.html
[해외보안동향] 돌핀(Dolphin), 머큐리(Mercury) 안드로이드 브라우저 취약점 발견! (0) | 2015.08.25 |
---|---|
[해외보안동향] 애플, 퀵타임 충돌 및 코드실행 결점 패치 (0) | 2015.08.25 |
[해외보안동향] 이탈리아 10대, OS X 제로데이 결점 발견 (0) | 2015.08.20 |
IE 취약점(CVE-2015-2502) 긴급 업데이트 권고! (0) | 2015.08.19 |
[해외보안동향] 불완전한 Stagefright 보안 패치, MMS 공격에 아직도 취약해 (0) | 2015.08.18 |
댓글 영역