Strava는 트래킹앱으로 사용자가 운동할 때 모바일에 있는 GPS를 추적하여 언제 어디서 사용자가 운동을 하였는지 알려줄 뿐만 아니라, 해당 앱을 사용하는 다른 사용자들과도 커뮤니케이션을 할 수 있습니다. 작년 11월, Strava는 자신들의 웹페이지를 통해 위치정보들을 시각화 한 heatmap을 공개하였으며, 이 페이지를 통하여 세계 각지 Strava 사용자들의 활동을 확인할 수 있도록 하였습니다. 하지만 전문가들은, 이 heatmap이 군사기밀시설의 위치와 그 직원들의 정보를 쉽게 유출시킬 수 있다고 밝혔습니다. Nathan Ruser은 Strava의 heatmap은 충분히 악의적으로 이용할 수 있으며, 이미 공개된 군사시설 지도와도 비교해볼 수 있다고 밝혔습니다. heatmap은 군사시설의 위치를..

국내외 보안동향 2018. 1. 29. 14:20

최근 보안연구원 Vangelis Stykas 와 Michael Gruhn이 Trackmageddon 이라고 명명된 GPS 취약점을 공개하였습니다. 해당 취약점은 약한 비밀번호, 문서 유출, 안전하지 않은 API 앤드포인트, 안전하지 않은 IDOR 취약점 등을 포함하며, 일부 GPS와 위치추적 서비스가 해당 취약점에 영향을 받습니다. Trackmageddon 취약점을 이용하면 권한없는 사용자가 GPS 좌표, 전화번호, 디바이스 정보(IMEI, 시리얼번호, MAC주소 등) 및 기타 개인정보들을 유출시킬 수 있습니다. 현재까지 100여개가 넘는 제조사의 제품에서 취약점이 발견되어 제보하였지만, 실제로 패치한 곳은 몇군데밖에 없었습니다. 자세한 내용은 여기를 참고하시면 됩니다. 출처 :https://www.bl..

국내외 보안동향 2018. 1. 4. 13:12