1. [기사] 안드로이드용 금융 관련 앱 30개 해킹해 분석했더니
[https://www.boannews.com/media/view.asp?idx=78388]
보안 업체 악산 테크놀로지스(Arxan Technologies)가 30개의 모바일 금융 애플리케이션을 조사했고, 거의 모든 앱에서 민감한 정보를 발견할 수 있었다고 발표했다. 점검된 앱들은 전부 안드로이드용이었으며, 도소매, 은행, 의료, 자동차 보험 등 8개 분야에서 선택됐다고 한다. 수석 보안 분석가는 30개의 앱 중 83%가 데이터를 안전하지 않은 방법으로 저장하고 있고, 또한 약한 암호화 알고리즘을 사용하고 있거나, 강력한 암호화 알고리즘을 잘못 구축한 앱들이 80%나 된다고 밝혔다. 전문가는 이번 분석에서는 83% 앱이 코드를 열람할 수 있어서 보고서를 작성하고 애플리케이션 하나를 크래킹하는 데 걸린 시간은 불과 8.5분밖에 안 걸렸다고 한다. 30개 앱에서 찾아낸 취약점들은 다음과 같다.
- 안전하지 않은 데이터 저장 시스템, 의도치 않은 데이터 노출, 클라이언트 사이드 주입, 약한 암호화, 모든 인증서에 대한 신뢰, 루트 권한을 사용한 실행, 누구나 읽고 쓸 수 있는 파일과 디렉터리, 비밀키 노출, 데이터베이스 노출, SQL 쿼리 노출, 약한 무작위 숫자 생성 -
2. [기사] 대한민국 사이버안보, ‘청와대 국가안보실’ 컨트롤타워 맡는다
[https://www.boannews.com/media/view.asp?idx=78389]
청와대가 3일 대한민국 최초의 ‘국가 사이버안보 전략’을 발표했다. 다만, 국가 사이버안보 전략은 국가의 사이버안보를 확보하기 위한 비전과 목표만 담겨 있으며, 구체적인 계획과 시행방안은 곧 추진할 ‘국가 사이버안보 기본계획’과 ‘국가 사이버안보 시행계획’에 포함될 것으로 보인다. 정부는 사이버안보의 3대 기본원칙도 마련했다고 언급했다. △국민의 기본권과 사이버안보를 조화롭게 추진하고 △반드시 법치주의에 기반을 둔 안보 활동을 전개하는 한편 △국민의 참여와 협력의 수행체계를 구축해 투명한 사이버 안보를 실현하겠다고 강조했다. 이에 정부는 이러한 전략을 구체화하고 성실히 실행하기 위해 ‘국가 사이버안보 기본계획’과 ‘국가 사이버안보 시행계획’을 수립해 추진하겠다고 밝혔다. 이번 보고서에는 총 6가지의 전략과제가 제시됐고, 다음과 같다.
1. 국가 핵심 인프라 안전성 제고 2. 사이버 공격 대응 역량 고도화 3. 신뢰와 협력기반 거버넌스 정립 4. 사이버보안 산업 성장기반 구축 5. 사이버보안 문화 정착 6. 사이버안보 국제협력선도
3. [기사] Crooks use hidden directories of compromised HTTPS sites to deliver malware
[https://securityaffairs.co/wordpress/83249/cyber-crime/https-sites-deliver-malware.html]
Crooks 악성코드는 WordPress 및 Joomla 웹 사이트에서 숨겨진 "잘 알려진" 디렉터리를 활용하여 악의적인 페이 로드를 제공한다. 해킹된 웹 사이트는 Shade/Troldesh ransomware, coin miner, 백도어와 같은 악의적인 목적으로 사용됐다. Crooks 악성코드가 주로 사용한 취약점은 WordPress v4.8.9~v5.1.1의 주석 섹션에 있는 교차 사이트 요청 위조 (CSRF) 취약점이다. 전문가에 따르면, 사이버 범죄자들은 오래된 CMS 플러그인과 테마 또는 서버 측 소프트웨어를 실행하는 웹 사이트를 대상으로 공격했다고 한다. Crooks 악성코드의 주요 특징은 /.well-known/acme-challenge/ 또는 /.well-ki-validation/ 디렉터리 내에 고유한 토큰을 배치하여 도메인의 소유권을 증명한다. 추가로, 이번 공격과 관련된 Shade/Troldesh ransomware의 변종은 TOR 클라이언트를 사용하여 C2에 연결하고 대상 파일의 내용과 이름을 모두 암호화한다. 또한, 공격자들은 Office 365, Microsoft, DHL, Dropbox, Bank of America, Yahoo, Gmail을 사용하여 피싱 페이지를 구축했다고 밝혔다.
4. [기사] Experts found 540 Million Facebook user records on unprotected Amazon S3 buckets
[https://securityaffairs.co/wordpress/83305/breaking-news/facebook-data-leak.html]
보안 회사 UpGuard의 전문가들은 Amazon 클라우드 서버에서 5억 4천만 개의 Facebook 사용자 레코드를 발견했다. 이 정보는 Facebook 응용 프로그램 개발자에 의해 보호되지 않은 클라우드 서버에 저장되어 있다고 한다. UpGuard Cyber Risk 팀은 두 개의 데이터셋을 확인했다. 하나는 멕시코에 본사를 둔 미디어 회사인 Cultura Colectiva에 있으며, 146 기가바이트의 5억 4천만 건의 기록, 의견, 반응, 계정 이름, FB ID 등을 포함한다. 두 번 째는 "At the Pool" 앱이 관리하는 아카이브에서 발견됐으며, 사용자의 친구, 좋아하는 사람, 그룹 및 체크인한 위치에 대한 정보는 물론 "At the Pool" 계정의 이름, 일반 텍스트 암호 및 22,000명의 전자 메일 주소가 들어 있었다. 이 두 데이터셋은 회사가 제삼자의 접속을 줄이기 위해 노력하더라도 일부 데이터는 추적하고 통제하기 어렵다는 것을 보여준다. 전문가는 이 데이터를 온라인으로 사용할 수 있게 되면 영향을 받는 사용자에게 중대한 위험이 제기될 수 있으므로 보안을 강조해야 한다고 언급했다.
5. [기사] Users Complain Of A Skype App Bug That Answers Calls Automatically
[https://latesthackingnews.com/2019/04/03/users-complain-of-a-skype-app-bug-that-answers-calls-automatically/]
최근 보고서에 따르면 스카이프 (Skype) 안드로이드 앱의 버그가 어떻게 동작하는지 분석됐다. 해당 버그는 앱의 자동 전화 응답 기능에 존재하며, 사용자가 기능을 사용 중지한 후에도 해당 기능을 계속 사용한다. 사용자 JasperKrap은 2019년 1월에 Android 7기기의 Skype 앱이 몇 초 동안 울리면 전화에 자동으로 응답하는 방법에 대해 불만을 표출했다. 또한 이 버그는 스마트 워치 장치를 연결할 때 주로 나타나는 것으로 확인됐다. 다른 사용자들도 동일한 문제가 발생했으며, 앱 재설치, 캐시 지우기, 데이터 삭제와 같은 시도로는 문제를 해결하지 못했다. 이에 Microsoft는 3월에 패치를 한번 진행했지만 해당 취약점은 패치되지 않아, 추가로 Skype Insider Preview에 나타나는 것처럼 수정판을 발표 할 계획이라고 밝혔다.
