Google OAuth client library flaw allowed to deploy of malicious payloads 구글은 CVE-2021-22573(CVS 점수 8.7)으로 등록된 Java용 구글 OAuth 클라이언트 라이브러리의 심각도 높은 인증 우회 취약점을 해결했습니다. 이 취약점은 해킹된 토큰을 통해 공격자가 악의적인 페이로드를 배포하도록 허용합니다. Java용 구글 OAuth 클라이언트 라이브러리는 구글 API뿐 아니라 웹의 모든 OAuth 서비스와 작동하도록 설계되었습니다. 라이브러리는 Java용 구글 HTTP 클라이언트 라이브러리를 기반으로 하며, Java 7(및 이상) 표준(SE) 및 엔터프라이즈(EE), Android 4.0(및 이상), Google App Engine을 ..

국내외 보안동향 2022. 5. 20. 14:00

GitHub Says Hackers Breached Dozens of Organizations Using Stolen OAuth Access Tokens 클라우드 기반 저장소 호스팅 서비스인 Github가 지난 금요일 한 공격자가 훔친 OAuth 사용자 토큰을 악용해 여러 조직의 개인 데이터를 무단으로 다운로드한 증거를 발견했다고 밝혔습니다. GitHub의 Mike Hanley는 보고서를 통해 아래와 같이 밝혔습니다. "공격자는 NPM을 포함한 조직 수십 곳에서 데이터를 다운로드하기 위해 타사 OAuth 통합업체인 Heroku와 Travis-CI에 발급된 도난 당한 OAuth 사용자 토큰을 악용했습니다.” OAuth 접근 토큰은 앱 및 서비스에서 사용자 데이터의 특정 부분에 대한 접근 권한을 부여하고, ..

국내외 보안동향 2022. 4. 18. 14:00

GitHub accounts stolen in ongoing phishing attacks 공격자들이 GitHub의 로그인 페이지와 유사한 랜딩 페이지를 이용하는 피싱 캠페인을 통해 GitHub 사용자를 노리고 있는 것으로 나타났습니다. 이들은 사용자의 계정을 탈취할 뿐만 아니라 그들의 개인 저장소, 조직에 속한 계정 및 기타 공동 작업물 등의 내용을 즉시 다운로드하는 것으로 나타났습니다. GitHub의 보안 사고 대응팀(SIRT)는 공격자는 GitHub 사용자 계정 정보를 손에 넣는데 성공할 경우 사용자가 암호를 변경할 경우에도 계속해서 액세스하기 위해 즉시 GitHub 개인 액세스 토큰을 생성하거나 해당 계정의 OAuth 애플리케이션을 인증할 것입니다라고 밝혔습니다. GitHub의 SIRT는 Sawf..

국내외 보안동향 2020. 4. 20. 15:00

10억개 이상의 모바일 앱 계정을 원격으로 하이잭할 수 있는 간단한 방법Over 1 Billion Mobile App Accounts can be Hijacked Remotely with this Simple Hack 최근 보안 연구원들이 사용자 몰래 사용자의 모바일 앱 계정으로 로그인할 수 있는 공격 방법을 발견하였습니다. 이 공격 방법은 안드로이드와 iOS 앱을 공격 대상으로 하며, OAuth2.0을 안전하게 구현하지 않아 발생하는 문제점인 것으로 확인되었습니다. OAuth 2.0이란 어플리케이션에서 권한인증을 수행할 수 있는 Open API로, 현재 각종 유명한 앱에서 사용되고 있습니다. 이번에 발견된 공격 방법은 SSO 서비스를 지원하지만 안전하지 않게 구현된 OAuth 2.0을 통해 이루어집니다..

국내외 보안동향 2016. 11. 9. 11:21