피싱 공격을 허용하는 iOS, OS X의 메일 버그 발견 Mail Bug on iOS, OSX, Opens Door to Phishing Attacks iOS와 OS X의 메일 클라이언트에서 공격자가 외부 HTML을 로드하여 피싱 공격을 실행할 수 있도록 허용하는 버그가 발견되었습니다. 이는 체코의 Jan Souček 연구원에 의해 밝혀졌으며 공격자가 HTML과 CSS를 이용해 사용자 스스로가 그들의 아이디와 비밀번호를 입력하도록 유도합니다. Souček은 올해 초 해당 버그를 발견한 후 애플에 제보했지만, 5개월이 지난 지금에도 버그는 고쳐지지 않아 PoC를 공개하게 되었다고 밝혔습니다. 해당 이슈는 애플의 이메일 클라이언트가 HTML 태그를 보여주기 때문에 발생하는 것이며, 이메일 메시지의 콘텐츠를 ..

국내외 보안동향 2015. 6. 11. 14:56

간단한 메시지만으로 충돌을 일으키는 버그, 스카이프에서도 발견This Simple Message Can Crash Skype Badly and Forces Re-Installation 지난주, 간단한 메시지로 아이폰과 아이패드의 앱 충돌 및 기기를 재부팅시킬 수 있는 버그가 발견되어 화제가 되었습니다. 이와 유사한 버그가 화상 채팅 및 메시징 서비스인 스카이프에서도 발견되었습니다. 아이폰에서 발생한 버그와 같이 단 8 글자의 메시지만으로 스카이프의 PC용 및 모바일용 클라이언트를 충돌시킬 수 있습니다. 또한, 충돌 발생 후 프로그램을 다시 정상적으로 이용하기 위해서는 스카이프를 재설치해야 합니다. 윈도우용, 안드로이드용, 아이폰용 스카이프 모두 해당 버그의 영향을 받는 것으로 밝혀졌습니다. 그러나, 맥 ..

국내외 보안동향 2015. 6. 4. 15:16

애플의 사파리 브라우저, URL 스푸핑에 취약Apple Safari Browser Vulnerable to URL Spoofing Vulnerability 애플의 사파리 웹 브라우저에서 사용자들이 정확한 웹 주소를 통해서도 악성 웹사이트에 방문할 수 있는 심각한 보안 취약점이 발견되었습니다. Deusen 연구팀은 공격자가 URL 스푸핑 취약점을 악용할 경우, 사파리 브라우저가 전혀 다른 주소로 접속하고 있음에도 불구하고 사용자들이 정상 웹 사이트에 접속하고 있다고 착각하게 만들 수 있다는 사실을 공개했습니다. 공격자가 해당 보안 취약점을 악용하면 사파리 사용자들이 악성 사이트에 접속해 악성 소프트웨어를 설치하도록 만들 수 있습니다. 또한 사용자들의 로그인 계정도 탈취할 수 있습니다. 이 연구팀은 사파리 ..

국내외 보안동향 2015. 5. 20. 13:49

iOS의 AFNetworking에서 SSL 취약점 발견 iOS의 AFNetworking 라이브러리에서 중간자 공격이 가능한 심각한 보안 취약점이 발견되었습니다. AFNetworking는 오픈소스 코드 라이브러리로, 개발자들이 iOS와 OS X프로세스 중 네트워크 기능을 추가할 때 자주 사용되고 있습니다. 그러나 해당 라이브러리는 SSL 인증서가 합법적인 인증 기관에서 발급된 것인지에 대한 도메인 이름을 체크하지 않는 취약점을 가지고 있는 것으로 확인되었습니다. 공격자는 해당 취약점을 이용해 중간자 공격을 할 수 있습니다. AFNetworking 최신 버전인 2.5.3 이전 버전을 사용하는 경우, SSL 프로토콜로 보호되어 있어도 해당 취약점에 노출될 수 있습니다. 확인 결과, 현재 앱 스토어에 있는 25..

국내외 보안동향 2015. 4. 27. 16:42

아이폰과 아이패드 충돌을 일으키는 iOS 8 취약점 발견iOS 8 Vulnerability Lets Hackers Crash Any iPhone and iPad Within Wi-Fi Range 아이폰과 아이패드의 충돌을 일으킬 수 있는 iOS 8의 제로데이 취약점이 발견되었습니다. 사용자의 아이폰, 아이패드, 아이팟이 악성 무선 네트워크에 접속되어 있을 경우, 해당 취약점을 통해 충돌이 발생할 수 있습니다. 모바일 보안 회사 Skycure는 'No iOS Zone' 이라는 타이틀의 최신 연구 결과를 발표했습니다. 공격자는 주위의 아이폰들을 충돌시키기 위해 악성 와이파이 네트워크를 생성합니다. 또한 'No iOS Zone' 공격을 통해 iOS 기기를 계속 재부팅 시켜 기기를 사용하지 못하게 만들 수도 있..

국내외 보안동향 2015. 4. 24. 14:20

Masque Attack: All Your iOS Apps Belong to Us마스크 공격: 당신의 모든 iOS 앱은 우리에게 달려있다 2014년 7월, 파이어아이 모바일 보안 연구원들은 특정 iOS 앱이 enterprise/ad-hoc 권한 설정을 사용하여 앱스토어로부터 설치한 정품 앱이 동일한 번들 식별자(bundle identifier)를 가지고 있는 경우 바꿔치기 할 수 있는 것을 발견했습니다. 이 앱은 “New Flappy Bird” 등과 같이 임의로 설정되어, 유저들이 설치하도록 합니다. iOS에서 프리인스톨 된 모바일 사파리 등의 앱을 제외한 모든 앱이 바꿔치기 될 수 있습니다. 이 취약점은 iOS가 강제적으로 동일한 번들 식별자를 가진 앱의 인증서를 매칭해보지 않았기 때문에 존재합니다. ..

국내외 보안동향 2014. 11. 12. 14:43