m.boannews.com/html/detail.html?idx=91999
모바일 브라우저 7개에서 주소창 스푸핑 취약점 발견돼
보안 업체 라피드7(Rapid7)이 보안 전문가 라파이 발로크(Rafay Baloch)와 함께 7개의 모바일 브라우저에서 발견된 새로운 취약점들을 공개했다. 이 취약점들을 성공적으로 익스플로잇 할 경우, 공격
m.boannews.com
환경)
웹에 비해, 모바일은 브라우저 개발자들이 보안 기능에 적극적이지 않고,
화면이 작기 때문에 사용자들이 URL 정보를 보고 수상하다고 느끼기 어렵다.
문제)
이번 취약점의 문제의 근원은 '자바스크립트 속이기'이다.
페이지가 로딩되는 시간과 브라우저가 주소창 정보를 새로 고치는 시간 사이의 그 틈을 시간차를 활용해
화면에 드러나는 정보를 공격자가 조작할 수 있다.
용어)
익스플로잇(Exploit) = 취약점 공격 : 컴퓨터의 소프트웨어나 하드웨어 및 컴퓨터 관련 전자 제품의 버그, 보안 취약점 등 설계상 결함을 이용해 공격자의 의도된 동작을 수행하도록 만들어진 절차나 일련의 명령, 스크립트, 프로그램 또는 특정한 데이터 조각을 말하며, 이러한 것들을 사용한 공격 행위
피싱 공격(Phishing) : 개인정보 Private data와 낚시 Fishing의 합성어로, 이메일 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장함으로써, 사용자의 비밀번호 및 신용카드 정보와 같이 기밀을 요하는 정보를 부정하게 얻으려는 사이버 범죄의 하나이다.
www.ndsl.kr/ndsl/search/detail/report/reportSearchResultDetail.do?cn=KAR2016081092
NDSL 보고서 - 피싱 공격과 방어
○ 피싱(Phishing)은 개인정보를 뜻하는 Private data와 낚시의 의미를 갖는 Fishing 의 합성어이다. 피싱은 이메일 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장
www.ndsl.kr
CWE-451 : 사용자 인터페이스를 통한 중요 정보 불실 표시(User Interface Misrepresentation of Critical Information)
취약점이 발견된 모바일 브라우저)
1) 애플의 사파리(Safari)
2) 애플의 오페라(Opera)
3) 얀덱스(Yandex)
4) UC웹의 UC브라우저(UC Browser)
5) 레이즈 IT 솔루션즈(Raise IT Solutions)에서 개발한 브라우저 일부
'보안 뉴스 & 보안 기술' 카테고리의 다른 글
[보안뉴스] 20201121 해커들이 좋아하는 API 공격 방법 4가지 (0) | 2020.11.21 |
---|---|
201108 재택 근무자들을 위한 가정용 라우터 방비, 어떻게 해야 할까? (2) | 2020.11.08 |
201025 아마존 개발자가 알려주는 해외 취업 특강 + STAR 기법 (2) | 2020.10.25 |
201018 [카드뉴스] 새로 등장한 블루투스 취약점 3가지와 우려되는 문제 (3) | 2020.10.19 |
201010 보안 문제로 시끄럽던 ‘줌’, 마침내 종단간 암호화 적용한다 (2) | 2020.10.16 |