20201101 모바일 브라우저 7개에서 주소창 스푸핑 취약점 발견돼
m.boannews.com/html/detail.html?idx=91999
모바일 브라우저 7개에서 주소창 스푸핑 취약점 발견돼
보안 업체 라피드7(Rapid7)이 보안 전문가 라파이 발로크(Rafay Baloch)와 함께 7개의 모바일 브라우저에서 발견된 새로운 취약점들을 공개했다. 이 취약점들을 성공적으로 익스플로잇 할 경우, 공격
m.boannews.com
환경)
웹에 비해, 모바일은 브라우저 개발자들이 보안 기능에 적극적이지 않고,
화면이 작기 때문에 사용자들이 URL 정보를 보고 수상하다고 느끼기 어렵다.
문제)
이번 취약점의 문제의 근원은 '자바스크립트 속이기'이다.
페이지가 로딩되는 시간과 브라우저가 주소창 정보를 새로 고치는 시간 사이의 그 틈을 시간차를 활용해
화면에 드러나는 정보를 공격자가 조작할 수 있다.
용어)
익스플로잇(Exploit) = 취약점 공격 : 컴퓨터의 소프트웨어나 하드웨어 및 컴퓨터 관련 전자 제품의 버그, 보안 취약점 등 설계상 결함을 이용해 공격자의 의도된 동작을 수행하도록 만들어진 절차나 일련의 명령, 스크립트, 프로그램 또는 특정한 데이터 조각을 말하며, 이러한 것들을 사용한 공격 행위
피싱 공격(Phishing) : 개인정보 Private data와 낚시 Fishing의 합성어로, 이메일 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장함으로써, 사용자의 비밀번호 및 신용카드 정보와 같이 기밀을 요하는 정보를 부정하게 얻으려는 사이버 범죄의 하나이다.
www.ndsl.kr/ndsl/search/detail/report/reportSearchResultDetail.do?cn=KAR2016081092
NDSL 보고서 - 피싱 공격과 방어
○ 피싱(Phishing)은 개인정보를 뜻하는 Private data와 낚시의 의미를 갖는 Fishing 의 합성어이다. 피싱은 이메일 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장
www.ndsl.kr
CWE-451 : 사용자 인터페이스를 통한 중요 정보 불실 표시(User Interface Misrepresentation of Critical Information)
취약점이 발견된 모바일 브라우저)
1) 애플의 사파리(Safari)
2) 애플의 오페라(Opera)
3) 얀덱스(Yandex)
4) UC웹의 UC브라우저(UC Browser)
5) 레이즈 IT 솔루션즈(Raise IT Solutions)에서 개발한 브라우저 일부