Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
모바일 / 보안 / 브라우저 / 안드로이드

안드로이드 기본 브라우저, 보안 취약점에 노출

Lucian Constantin | IDG News Service 2014.09.17
안드로이드 4.4 이전 버전에 탑재된 기본 브라우저에서 중요 보안 메커니즘을 우회하여 다른 사이트에서의 사용자 인증 세션을 제어할 수 있는 취약점이 발견됐다.

발견된 취약점은 ‘크로스 사이트 스크립팅(cross-site scripting, XSS)’ 결함으로, 브라우저가 널(null) 바이트 문자라 포함된 스트링이 포함된 자바 스크립트를 처리하는 방식에서 발생한다. 한 사이트 컨텍스트 안에서 작동하는 스크립트가 다른 웹사이트 내의 스크립트와 상호작용하는 것을 방지하는 보안 제어인 ‘동일-출처 정책(same origin policy)’이 무력화된다.

메타스플로잇 프레임워크(Metasploit Framework)의 기술 책임자 토드 비어즐리는 “이 말은 스패머나 스파이가 만든 임의의 웹사이트가 다른 웹 페이지의 콘텐츠 내부를 엿볼 수 있다는 것을 의미한다”고 설명했다. 이어 “메일 등의 링크를 클릭해 공격자의 사이트를 방문할 경우, 이 공격자는 사용자의 세션 쿠키 복사본을 만들고, 세션 하이재킹 공격을 가할 수 있다. 또한, 사용자가 읽고 쓰는 웹메일의 내용을 몰래 훔쳐볼 수 있게 된다”고 덧붙였다.

독립 보안 연구원 라파리 발로치가 이 취약점을 처음 발견했으며, 지난 8월 31일 자신의 블로그에 이 보안 취약점의 개념 증명에 대한 글을 게시했다. 그러나 메타스플로잇 팀이 감염된 페이지를 열어 본 사용자의 인증 쿠키를 훔치는 데 이용할 수 있는 모듈을 개발할 때까지도 이 취약점은 주목 받지 못했다.

로드 비어즐리는 “이 취약점을 파악하기 위한 연구와 실험이 계속 진행 중이다”며, “이 취약점이 해결된 정확한 시기를 밝히고, 이 취약점이 얼마나 퍼졌는지를 알아내고자 한다. 어찌됐든, 안드로이드 4.4 이하 버전이 탑재된 기기는 전체 안드로이드의 75%를 차지하고 있다”고 말했다.

취약점에 감염됐다고 판단되는 사용자라면, 크로스사이트 스크립팅에 노출되지 않은 크롬, 파이어폭스, 돌핀 브라우저, 오페라와 같은 다른 웹브라우저를 설치하는 것이 좋다. editor@itworld.co.kr
 Tags 브라우저 XSS 결함 보안 안드로이드
Sponsored

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.