보안 / 브라우저 / 애플리케이션

라스트패스 파이어폭스용 확장 프로그램, 하이재킹 위험 발견돼

Michael Kan | IDG News Service 2016.07.28
한 구글 보안 담당자가 라스트패스를 원격으로 하이재킹할 수 있는 방법을 찾았다고 주장했다.

처음에는 사용자를 악성 웹 사이트로 유도한다. 이후 파이어폭스용 라스트패스 확장 프로그램에서 보안 결점을 찾아 악용한다. 라스트패스는 수요일 취약점 두 개가 발견됐다며, 파이어폭스 사용자에 대한 보안 픽스를 배포했다고 말했다.

최초 발견자는 구글 보안 담당자 태비스 오만디로 알려졌다. 오만디는 화요일 트위터로 “정말 라스트패스를 사용해도 되는 것인가? 치명적인 보안 허점 몇 가지를 발견했다”고 전했다.

라스트패스는 소프트웨어 특성 상 어떤 취약점이라도 사용자에게 큰 위험을 가져올 수 있다. 여러 개의 각기 다른 웹 사이트에서 사용되는 모든 비밀번호를 안전하게 저장하고 필요할 때마다 불러오는 프로그램이기 때문이다.

오마디 외에 디텍티파이 랩(Detectify Lab) 소속의 마티아스 칼슨도 라스트패스의 보안 취약점을 발견했다. 칼슨은 원격으로 라스트패스를 하이재킹할 수 있는 허점을 발견했다고 말했다. 이 경우에는 크롬 브라우저 확장 프로그램이 사용됐다.


브라우저용 라스트패스 확장 프로그램은 일반적으로 사용자가 방문하는 웹 사이트에 자동으로 저장된 비밀번호를 불러와 대신 입력해준다. 칼슨은 라스트패스 크롬 확장프로그램이 방문하는 사이트마다 특정 HTML 코드를 덧붙여 웹 사이트 주소를 분석하고 도메인을 구분해 알맞은 비밀번호를 입력한다고 말했다.

문제는 이 HTML 코드가 손상되기 쉽다는 점이다. 라스트패스는 다른 웹 사이트를 방문할 때에도 비밀번호를 자동 입력할 수 있다. 칼슨은 이 버그를 발견하고 가짜 URL을 생성한 후 현재 사용자가 트위터를 방문했다고 라스트패스를 속이는 실험을 했다. 그러자 라스트패스는 사용자의 트위터 비밀번호를 가짜 URL에 입력했다.

해커들 역시 악성 웹 사이트를 구축하고 라스트패스 사용자의 방문을 유도하는 방식으로 이 보안 취약점을 악용할 수 있다. 비밀번호를 수집하는 악성 웹 사이트를 만들 수 있게 되는 것이다.
라스트패스에 따르면, 칼슨이 이 버그를 알린 것은 1년 전의 일이며 이후 버그는 수정됐다. 라스트패스는 알려진 두 가지의 버그로 해커가 사용자를 자신들이 만든 악성 사용 사이트에 유인해 비밀번호를 가로챌 위험이 있다고 밝혔다. 또, 사용자들에게 피싱 목적의 웹 사이트 링크를 받을 때 주의하라고 당부했다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.