사파리, 오페라, 얀덱스 등...7개 모바일 브라우저의 주소창이 위험한 상태
모바일 브라우저는 화면이 작아 사용자들이 링크 확인 잘 안 해...공격하기 좋은 환경
[보안뉴스 문가용 기자] 보안 업체 라피드7(Rapid7)이 보안 전문가 라파이 발로크(Rafay Baloch)와 함께 7개의 모바일 브라우저에서 발견된 새로운 취약점들을 공개했다. 이 취약점들을 성공적으로 익스플로잇 할 경우, 공격자는 브라우저의 주소창에 나타나는 정보를 허위로 작성할 수 있게 된다고 한다.
[이미지 = utoimage]
사용자가 들여다보는 인터페이스 화면에 거짓 정보를 띄우도록 해 주는 취약점은 각종 소프트웨어에서 끊임없이 발굴되고 있다. 이러한 취약점은 피싱 공격을 통해 사용자들을 속이려는 사이버 범죄자들에게 특히 유용하다. 이번 브라우저 취약점들 역시 공격자들의 관심이 클 것이 예상된다. “브라우저들마다 취약점이 따로 존재하는데, 결국에는 CWE-451이라는 커다란 항목 안에 공통적으로 포함될 수 있습니다. CWE-451은 ‘사용자 인터페이스를 통한 중요 정보 불실 표시(User Interface Misrepresentation of Critical Information)’라고 알려져 있습니다.”
CWE-451에 속하는 취약점을 공략할 경우 진짜와 똑같아 보이는 악성 웹 페이지로 피해자를 유도할 수 있다. 라피드7에 의하면 이번에 공개된 취약점들 전부 이러한 가능성을 가지고 있다고 한다. “문제의 근원은 ‘자바스크립트 속이기’가 가능하다는 데에 있습니다. 페이지가 로딩되는 시간과 브라우저가 주소창 정보를 새로고치는 시간 사이의 그 틈을 이용하는 것이죠. 이 시간차를 활용해 화면에 드러나는 정보를 공격자가 조작할 수 있습니다.”
이러한 취약점이 발견된 모바일 브라우저는 다음과 같다.
1) 사파리(Safari)
2) 오페라(Opera)
3) 얀덱스(Yandex)
4) UC웹(UCWeb)에서 개발한 브라우저인 UC브라우저(UC Browser)
5) 레이즈 IT 솔루션즈(Raise IT Solutions)에서 개발한 브라우저 일부
UC브라우저는 5억 번 이상, 얀덱스는 1억 번 이상 다운로드 된 것으로 집계된다. 하지만 애플의 사파리와 오페라만이 취약점이 해결된 상태라고 한다. 라피드7이 취약점을 각 개발사로 알린 것은 지난 8월의 일이다.
주소창 등 각종 정보가 잘못 노출되도록 만드는 공격 기법은 이미 오래 전부터 있어왔던 것이다. 데스크톱이 아니라 모바일용 브라우저에서는 이런 공격이 더 잘 통한다. 왜냐하면 화면이 작아서 수상한 점이 눈에 잘 안 띄기 때문이다. 게다가 모바일 브라우저 개발사들도 보안 기능을 도입하는 데에 그리 적극적이지 않다. 데스크톱 브라우저에는 각종 경고 장치가 마련되어 있는데, 모바일에서는 그렇지 않은 것이 대부분이다.
그렇기 때문에 모바일 브라우저에서 사용자가 ‘이 웹 페이지가 진짜 내가 보려는 웹 페이지인가?’를 확인하려면 주소창을 확인하는 수밖에 없다. 때문에 이 주소창 정보를 공격자가 조정할 수 있게 된다는 것은 피싱 공격 등으로부터의 거의 유일하다시피 한 방어책을 제거한다는 뜻이 된다.
보안 보안 전문 업체 룩아웃(Lookout)의 수석 매니저인 행크 슐레스(Hank Schless)는 “URL을 허위로 노출시키는 기법은 공격자들이 모바일 사용자들을 속일 때 가장 많이 사용하는 것”이라고 설명한다. “사용자들은 모바일 환경에서 링크를 누를 때 보다 덜 생각하는 경향이 있습니다. 화면이 작고 정보 조사가 덜 자유롭기 때문이죠. 그러다 보니 PC에서는 꼼꼼한 사람이라도 모바일에서는 링크를 마구 누르는 걸 자주 봅니다. URL을 가짜로 노출시켜 속이려는 사람들에게 최적의 환경이죠.”
보안 업체 넷엔리치(Netenrich)의 CISO 브랜든 호프만(Brandon Hoffman)은 “모바일 브라우저들에는 그 특유의 제한점들이 있고, 이를 악용하려는 공격자들의 시도는 끊임없이 발생할 것”이라고 경고했다. “즉 오래된 기법의 새로운 발현이 계속해서 일어날 것이라는 뜻입니다. 이번에 발견된 취약점 역시 대단히 새롭거나 혁신적인 것은 아닙니다. 하지만 공격자들이 진짜 좋아하는 취약점이 새로 발굴되었다는 점에서 분명한 경고가 됩니다.”
3줄 요약
1. 7가지 모바일 브라우저에서 URL 속이는 취약점 발견됨.
2. 공격자들이 이를 통해 주소창 정보를 조작할 수 있고, 사용자는 더 쉽게 속게 됨.
3. 현재 이 문제가 해결된 브라우저는 사파리와 오페라 뿐. 나머지 마이너 브라우저들은 위험.
[국제부 문가용 기자(globoan@boannews.com)]
모바일 브라우저는 화면이 작아 사용자들이 링크 확인 잘 안 해...공격하기 좋은 환경
[보안뉴스 문가용 기자] 보안 업체 라피드7(Rapid7)이 보안 전문가 라파이 발로크(Rafay Baloch)와 함께 7개의 모바일 브라우저에서 발견된 새로운 취약점들을 공개했다. 이 취약점들을 성공적으로 익스플로잇 할 경우, 공격자는 브라우저의 주소창에 나타나는 정보를 허위로 작성할 수 있게 된다고 한다.
[이미지 = utoimage]
사용자가 들여다보는 인터페이스 화면에 거짓 정보를 띄우도록 해 주는 취약점은 각종 소프트웨어에서 끊임없이 발굴되고 있다. 이러한 취약점은 피싱 공격을 통해 사용자들을 속이려는 사이버 범죄자들에게 특히 유용하다. 이번 브라우저 취약점들 역시 공격자들의 관심이 클 것이 예상된다. “브라우저들마다 취약점이 따로 존재하는데, 결국에는 CWE-451이라는 커다란 항목 안에 공통적으로 포함될 수 있습니다. CWE-451은 ‘사용자 인터페이스를 통한 중요 정보 불실 표시(User Interface Misrepresentation of Critical Information)’라고 알려져 있습니다.”
CWE-451에 속하는 취약점을 공략할 경우 진짜와 똑같아 보이는 악성 웹 페이지로 피해자를 유도할 수 있다. 라피드7에 의하면 이번에 공개된 취약점들 전부 이러한 가능성을 가지고 있다고 한다. “문제의 근원은 ‘자바스크립트 속이기’가 가능하다는 데에 있습니다. 페이지가 로딩되는 시간과 브라우저가 주소창 정보를 새로고치는 시간 사이의 그 틈을 이용하는 것이죠. 이 시간차를 활용해 화면에 드러나는 정보를 공격자가 조작할 수 있습니다.”
이러한 취약점이 발견된 모바일 브라우저는 다음과 같다.
1) 사파리(Safari)
2) 오페라(Opera)
3) 얀덱스(Yandex)
4) UC웹(UCWeb)에서 개발한 브라우저인 UC브라우저(UC Browser)
5) 레이즈 IT 솔루션즈(Raise IT Solutions)에서 개발한 브라우저 일부
UC브라우저는 5억 번 이상, 얀덱스는 1억 번 이상 다운로드 된 것으로 집계된다. 하지만 애플의 사파리와 오페라만이 취약점이 해결된 상태라고 한다. 라피드7이 취약점을 각 개발사로 알린 것은 지난 8월의 일이다.
주소창 등 각종 정보가 잘못 노출되도록 만드는 공격 기법은 이미 오래 전부터 있어왔던 것이다. 데스크톱이 아니라 모바일용 브라우저에서는 이런 공격이 더 잘 통한다. 왜냐하면 화면이 작아서 수상한 점이 눈에 잘 안 띄기 때문이다. 게다가 모바일 브라우저 개발사들도 보안 기능을 도입하는 데에 그리 적극적이지 않다. 데스크톱 브라우저에는 각종 경고 장치가 마련되어 있는데, 모바일에서는 그렇지 않은 것이 대부분이다.
그렇기 때문에 모바일 브라우저에서 사용자가 ‘이 웹 페이지가 진짜 내가 보려는 웹 페이지인가?’를 확인하려면 주소창을 확인하는 수밖에 없다. 때문에 이 주소창 정보를 공격자가 조정할 수 있게 된다는 것은 피싱 공격 등으로부터의 거의 유일하다시피 한 방어책을 제거한다는 뜻이 된다.
보안 보안 전문 업체 룩아웃(Lookout)의 수석 매니저인 행크 슐레스(Hank Schless)는 “URL을 허위로 노출시키는 기법은 공격자들이 모바일 사용자들을 속일 때 가장 많이 사용하는 것”이라고 설명한다. “사용자들은 모바일 환경에서 링크를 누를 때 보다 덜 생각하는 경향이 있습니다. 화면이 작고 정보 조사가 덜 자유롭기 때문이죠. 그러다 보니 PC에서는 꼼꼼한 사람이라도 모바일에서는 링크를 마구 누르는 걸 자주 봅니다. URL을 가짜로 노출시켜 속이려는 사람들에게 최적의 환경이죠.”
보안 업체 넷엔리치(Netenrich)의 CISO 브랜든 호프만(Brandon Hoffman)은 “모바일 브라우저들에는 그 특유의 제한점들이 있고, 이를 악용하려는 공격자들의 시도는 끊임없이 발생할 것”이라고 경고했다. “즉 오래된 기법의 새로운 발현이 계속해서 일어날 것이라는 뜻입니다. 이번에 발견된 취약점 역시 대단히 새롭거나 혁신적인 것은 아닙니다. 하지만 공격자들이 진짜 좋아하는 취약점이 새로 발굴되었다는 점에서 분명한 경고가 됩니다.”
3줄 요약
1. 7가지 모바일 브라우저에서 URL 속이는 취약점 발견됨.
2. 공격자들이 이를 통해 주소창 정보를 조작할 수 있고, 사용자는 더 쉽게 속게 됨.
3. 현재 이 문제가 해결된 브라우저는 사파리와 오페라 뿐. 나머지 마이너 브라우저들은 위험.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
