2010.02.17

“일반 프로그래밍 오류로 구글 버즈 해킹 가능”

Robert McMillan | IDG News Service

평범한 웹 프로그래밍 오류로 해커가 구글 버즈(Google Buzz) 계정을 해킹할 수 있다는 지적이 제기됐다.

 

이번 문제를 처음 제기한 시큐띠어리(SecTheory)의 로버트 한센은 이 취약점은 모바일 웹사이트용 버즈에 있는 ‘중간 단계의 문제점(medium-sized problem)’이라고 지적했다.

 

이런 종류의 웹 프로그래밍 오류는 XSS(cross-site scripting) 취약점으로, 공격자가 자신의 스크립팅 코드를 구글닷컴(google.com)과 같은 신뢰할 수 있는 사이트에 속한 웹 페이지에 심을 수 있도록 한다. 이는 매우 흔한 취약점이지만 많은 웹사이트 사용자들에게 피해를 줄 수도 있다.

 

한센은 “공격자는 구글 버즈에서 사용자가 원치 않는 사람을 팔로우하도록 강요할 수 있다”고 설명했다. 공격자가 이 취약점을 이용해서 그들의 콘텐츠를 구글닷컴 도메인에 심을 수 있기 때문에, 구글 사용자에게 피싱 공격을 할 수 있다는 것이다.

 

이어 한센은 “만일 이 취약점을 패치하지 않은 상태로 내버려 두면, 해당 사이트를 사용하는 모든 사람들에게 피해를 줄 수 있다”라면서, “사용자들이 가짜 페이지에 구글 로그인 페이지에 필요한 정보를 입력하게끔 한다”라고 지적했다.

 

이 버그의 이름은 TrainReq으로, 팝스타 마일리 사이러스(Miley Cyrus)의 이메일 계정에서 사진을 유출한 것으로 잘 알려져 있다.

 

이와 관련해서 구글 대변인은 “해당 취약점이 모바일용 구글 버즈 사용자에게 피해를 줄 수 있음을 인지하고 있고, 현재 수정 중이다”라면서, “아직까지 실제로 피해를 본 사례는 없었다”라고 전했다.

 

하지만 한센은 이 같은 보안 취약점은 중요한 문제들의 배경음악에 지나지 않는다며 비판의 목소리를 냈다. 그는 “구글은 자사 애플리케이션도 보호하지 못하기 때문에 민감한 정보와 관련해서 신뢰할 수 없다”고 말했다.

 

지난 주 공개된 구글 버즈는 지메일 주소록에 있는 사용자를 자동으로 공개해줘 논란의 대상이 됐으며, 사생활 보호 문제를 위해 몇 가지 수정을 가한 바 있다. editor@idg.co.kr



2010.02.17

“일반 프로그래밍 오류로 구글 버즈 해킹 가능”

Robert McMillan | IDG News Service

평범한 웹 프로그래밍 오류로 해커가 구글 버즈(Google Buzz) 계정을 해킹할 수 있다는 지적이 제기됐다.

 

이번 문제를 처음 제기한 시큐띠어리(SecTheory)의 로버트 한센은 이 취약점은 모바일 웹사이트용 버즈에 있는 ‘중간 단계의 문제점(medium-sized problem)’이라고 지적했다.

 

이런 종류의 웹 프로그래밍 오류는 XSS(cross-site scripting) 취약점으로, 공격자가 자신의 스크립팅 코드를 구글닷컴(google.com)과 같은 신뢰할 수 있는 사이트에 속한 웹 페이지에 심을 수 있도록 한다. 이는 매우 흔한 취약점이지만 많은 웹사이트 사용자들에게 피해를 줄 수도 있다.

 

한센은 “공격자는 구글 버즈에서 사용자가 원치 않는 사람을 팔로우하도록 강요할 수 있다”고 설명했다. 공격자가 이 취약점을 이용해서 그들의 콘텐츠를 구글닷컴 도메인에 심을 수 있기 때문에, 구글 사용자에게 피싱 공격을 할 수 있다는 것이다.

 

이어 한센은 “만일 이 취약점을 패치하지 않은 상태로 내버려 두면, 해당 사이트를 사용하는 모든 사람들에게 피해를 줄 수 있다”라면서, “사용자들이 가짜 페이지에 구글 로그인 페이지에 필요한 정보를 입력하게끔 한다”라고 지적했다.

 

이 버그의 이름은 TrainReq으로, 팝스타 마일리 사이러스(Miley Cyrus)의 이메일 계정에서 사진을 유출한 것으로 잘 알려져 있다.

 

이와 관련해서 구글 대변인은 “해당 취약점이 모바일용 구글 버즈 사용자에게 피해를 줄 수 있음을 인지하고 있고, 현재 수정 중이다”라면서, “아직까지 실제로 피해를 본 사례는 없었다”라고 전했다.

 

하지만 한센은 이 같은 보안 취약점은 중요한 문제들의 배경음악에 지나지 않는다며 비판의 목소리를 냈다. 그는 “구글은 자사 애플리케이션도 보호하지 못하기 때문에 민감한 정보와 관련해서 신뢰할 수 없다”고 말했다.

 

지난 주 공개된 구글 버즈는 지메일 주소록에 있는 사용자를 자동으로 공개해줘 논란의 대상이 됐으며, 사생활 보호 문제를 위해 몇 가지 수정을 가한 바 있다. editor@idg.co.kr



X