posted by Kwan's 2012. 12. 4. 19:03


US CERT(Computer Emergency Readiness Team)의 경고에 따르면, 삼성과 델 프린터를 사용하는 기업들은 하드 코딩된 관리자 계정을 통해 공격자가 그들의 기기를 컨트롤하는 것이 가능하다고 경고 하였습니다.

지난 월요일(16일), CERT는 2012년 10월 31일까지 삼성이 제조하고 델과 삼성 브랜드로 판매된 프린터들에서 주의를 요하는 계정의 존재를 발견했다는 경고를 발표하였습니다.

하드 코딩된 SNMP(Simple Network Management Protocol) 패스워드는 모든 관리자 읽기-쓰기 권한을 허용하고, 프린터의 관리 콘솔을 이용해 SNMP가 비활성화된 경우에도 활성화 상태로 유지하게 한다고 CERT는 경고했습니다.

SNMP는 네트워크 상에 있는 인터넷이 가능한 기기들을 관리하는데 사용되는 표준 프로토콜입니다. CERT에 따르면, 원격에 있는 공격자가 기기에 대한 인증(로그인) 없이도 삼성 프린터에 접근하는 것이 가능하다고 합니다.

패스워드에 대한 지식을 사용하면, 악의적인 해커는 기기 구성을 변경하거나 네트워크 정보와 인증서 정보 등 기기에 있는 기밀 정보에 접근하는 것이 가능합니다.

이런 프린터는 또한 다른 네트워크 기기를 공격하기 위한 토대로 사용될 수도 있다고 CERT는 경고했습니다.

삼성은 수정 패치를 준비 중에 있고 취약한 기기에 대해 “올해 말” 패치 툴을 제공할 것이라고 밝혔습니다.

취약성 경고에는 어떤 프린터들이 공격받았는지 목록을 제공하지는 않았지만 2012년 10월 31일 이후 제조된 프린터들은 공격받지 않은 것으로 나타났습니다. 즉, 11월 이전에 출시된 모든 삼성 프린터 모델들은 백도어 계정을 포함하고 있고 취약성이 있는 것으로 보면 됩니다.

델 모델의 경우에는, 삼성이 자사의 ML-2165W라는 컴팩트한 올인원 프린터를 모델로 해서B1160w와 같은 델 프린터를 만들었는데 다른 델 브랜드 프린터가 공격을 받았는지는 확실하지 않습니다.

 

사실 최신의 네트워크 프린터들은 일반적인 데스크톱 컴퓨터와 동등한 속성들을 많이 가지고 있고, 수천 장의 기밀문서 이미지를 저장할 수 있음에도 불구하고, 네트워크 인프라에서 어느 정도 간과되고 있습니다.

최근 몇 년 동안에, HP와 같은 프린터 업체들은 치명적인 취약점들이 그들의 프린터에서 운영되는 펌웨어에서 발견된 이후에 사용자들에게 긴급패치를 제공할 수 밖에 없었습니다.

또한 프린터 보안 이슈는 지난 해 콜롬비아 대학의 연구원들이 HP LaserJet 프린터들에 대한 보안 취약점을 발견했다고 주장했을 때 관심을 끌었습니다. 이 보안 취약점은 “수천만 대”의 HP LaserJet 프린터에 잠재적으로 영향을 미칠 수 있으며, 원격에 있는 공격자가 취약한 시스템에 물리적인 손상을 가할 수 있도록 허용하고 잠정적으로 그것들이 불을 지피는 원인이 되게 하는 것이었습니다.


불을 붙게 하는 해킹에 대한 주장은 틀렸음이 밝혀진 반면에, 시스템은 원격 해킹에 무방비 상태로 남아 있었습니다.

CERT는 삼성 프린터를 사용하는 기업들에게 네트워크를 통해 프린터에 접근하는 것을 제한하고, 하드 코딩된 사용자명과 패스워드가 요구하는 SNMP 인터페이스 접속으로부터 해커들의 접근을 막기 위해 신뢰하는 호스트와 네트워크 연결만 허용하라고 충고합니다.

업데이트: 삼성은 네이키드 시큐리티에 연락을 했고 다음과 같은 성명서를 제출하였습니다:

삼성은 삼성 네트워크 프린터와 다기능 기기를 공격하는 보안 이슈에 대해 알고 나서 해결을 했습니다. 그 문제는 SNMP가 활성화인 경우에만 기기들을 공격하는데, SNMP를 비활성화시켜서 해결을 했습니다.

우리는 모든 보안문제를 매우 심각하게 받아들이고 있고 이번 취약점으로 인해 공격을 받았던 고객은 아무도 없습니다. 삼성은 11월 30일까지 현재의 모든 모델에 대해 업데이트된 펌웨어를 제공하고, 다른 모든 모델들은 연말까지 업데이트될 수 있도록 노력하고 있습니다.

하지만, 관심 있는 고객들을 위해 우리는 펌웨어 업데이트가 끝날 때까지 고객들이 SNMPv1,2를 비활성화하거나 안전한 SNMPv3 모드를 이용하도록 장려하고 있습니다.

더 많은 정보를 원하시면, 기업고객은 1-866-SAM4BIZ, 일반고객은 1-800-SAMSUNG으로 삼성 고객 서비스에 연락하십시오.

댓글을 달아 주세요

posted by Kwan's 2012. 11. 28. 19:31


익스플로잇을 목적으로 하는 온라인 범죄자들이 새로울 것은 없지만, 그들은 여러분의 보안을 위협하기 위해서 이제 다양한 면에서의 접근을 하고 있습니다.

그들은 여러분의 어플리케이션에 있는 패치 되지 않은 결함만 악용 하는 것은 아닙니다. 그 시도가 실패할 때 그들은 여러분이 스스로 감염시키도록 합니다.

예를 들어, 제가 오늘 받은 이 이메일은 $699.99짜리 Apple의 인보이스인척 합니다.

이 소셜 엔지니어링은 아주 완벽한 것은 아닙니다. 나는 적어도 10년 동안은 Windows 변수 %email%를 알지 못했었습니다. 누가 배후에 있던 이것은 사소한 것에 많은 주의를 기울였습니다.

'View/Download' 링크는 download.jpg.exe가 실행되게 되어 있고, 반면에 “Cancel”과 “Not your order”의 URL은 check.php로 연결되어 있습니다.

똑똑한 소셜 엔지니어링은 여러분이 단지 이것이 무엇인지에 대해 호기심을 갖거나 인증되지 않은 청구에 대해 몹시 화를 내든지 간에, 여러분이 여전히 그 링크들 중 하나를 클릭하고 싶게 합니다.

만약 여러분이 그 링크 중 하나를 클릭하면, IRS 인 것처럼 보여주고 여러분이 지원되지 않는 브라우저를 사용하고 있다고 하는 관련되지 않은 페이지를 보여줍니다.

일단 이 페이지가 표시되면, Blackhole exploit kit의 전형적인 방식으로 Oracle Java와 Adobe Flash Player, Adobe Reader에 대한 익스플로잇을 전달하려고 시도합니다. 만약 이들 중 하나라도 성공하면, 그것은 여러분의 컴퓨터를 Zeus/ZBot 트로이목마에 감염시킵니다.

더욱 나쁜 것은, 만약 이들 중에 어떤 것이 동작을 하지 않으면, 그 이미지는 이들 브라우저의 버전을 “최신버전으로 업데이트”하는 다운로드를 링크하는데, 그 링크는 단지 update.exe 라는 파일을 다운로드합니다.

만약 수신자가 익스플로잇 되거나 그 파일을 다운로드해서 실행한다면, 그들은 Zeus/ZBot 트로이목마에 감염되는데, 그것은 여러분의 키스트로크를 기록하고 은행계좌정보를 훔치도록 설계된 것입니다.

받은 편지함에 보이는 링크들을 클릭하는 것은 언제나 좋지 않은 생각이지만, 우리가 불법 트랜젝션에 대해 벌금을 낸다고 생각하면 우리는 더 많이 그렇게 할 것 같습니다.

그렇게 하지 마십시오. 다른 것들과 마찬가지로 항상 여러분에게 오는 것들에 대해 의심하고 믿을 수 있는 외부 인증방법을 사용하십시오.

문제가 되는 회사의 웹사이트로 가서, 여러분 카드 뒷면이나 청구서 등에 나온 번호로 연락하십시오

우리가 크리스마스 시즌 동안 전형적으로 증가되는 범죄활동을 보고 있기 때문에 이것이 매년 이맘때에 특히 중요한 충고입니다. 경계를 늦추지 마십시오.

댓글을 달아 주세요

posted by Kwan's 2012. 11. 19. 20:04


Windows PC용보다 Mac용 맬웨어가 훨씬 적게 존재한다는 것은 사실이지만, 그것이 전혀 존재하지 않는다는 의미는 아닙니다.

만약 여러분의 Apple Mac이 결국 감염이 된 PC중에 하나라고 한다면, Windows 맬웨어에 비해 훨씬 적은 비율의 Mac 맬웨어에 대한 통계에 집착하는 것은 큰 위안이 되지 않을 것입니다.

소포스랩 전문가들에 의해 드러난 최신 Mac 맬웨어는 OSX/Imuler 트로이 목마의 새로운 변종입니다. 과거에는, OSX/Imuler 맬워어의 초기 변종들이 러시아 슈퍼모델의 상반신 누드 사진을 통해 퍼져 나가거나 장난으로 만들어놓은(boobytrap) PDF파일 속에 깊이 심어져 있었습니다.

이번에 Imuler 트로이 목마 버전은 달라이 라마(Dalai Lama)와 티베트 정부의 주동자들에 대한 타깃 공격에 사용된 것으로 보입니다. 왜냐하면, 그 맬웨어는 티베트 조직원들의 사진들로 구성된 것처럼 보이기 때문입니다.

만약 여러분의 Mac이 이와 같은 맬웨어에 감염되었다면, 여러분의 컴퓨터와 데이터를 눈에 보이지도 않고 알지 못하는 곳에서 효율적으로 원격제어 할 수 있습니다. 그들은 여러분 Mac에서 파일들을 훔칠 수 있고, 여러분의 이메일을 엿볼 수 있고, 더 많은 맬웨어를 여러분의 시스템에 설치할 수도 있습니다.

소포스의 Mac용 무료 안티바이러스를 포함한 소포스 고객들은 2012년 11월 11일 이른 시간부터 OSX/Imuler-B 백도어 트로이목마의 변종으로 감지되고 있는 그 맬웨어에 대해 보호받고 있습니다.

다른 Mac 안티바이러스 제품 사용자들은 그들이 보호받고 있는지 벤더들에게 확인하는 것이 현명할 것입니다.

이 새로운 맬웨어 변종은 넓게 퍼지지는 않을 거지만, Mac에 대한 맬웨어 위협이 사실이라는 또 다른 증거이고, 과소평가되지 않아야 합니다.

댓글을 달아 주세요

posted by Kwan's 2012. 11. 15. 19:42


지난달, 네이키드 시큐리티는 Google이 사용자의 스마트폰에서 안드로이드 맬웨어 앱을 스캔하려 했다는 증거를 밝혀냈습니다.

Google은 그런 기능이 안드로이드 다음 버전인 4.2(젤리빈)에 적용될 것이라고 확인하였습니다.

컴퓨터월드(Computerworld)와의 최근 인터뷰에서, 안드로이드의 엔지니어링 부사장은 OS의 차기 버전에서 서드파티 마켓플레이스로부터 설치된 모든 앱을 스캔할 수 있다고 설명하였습니다.

히로쉬 록하이머(Hiroshi Lockheimer) 부사장은 JR 라파엘(JR Raphael)에게 첫 번째 앱은 공식 Google Play 스토어가 아닌 다른 마켓으로부터 설치되었고, 안드로이드는 그 앱이 “해로운 행동”에 대해 확인되는 앱을 원하는지 사용자에게 물어보는 메시지를 표시할 것이라고 말했습니다.

그래서, 여러분이 Google에게 여러분의 안드로이드 폰에 설치되는 앱을 체크하길 원한다고 하면 어떤 일이 일어날까요?

여러분의 안드로이드 스마트폰은 그 앱에 대한 인식정보(시그너쳐와 동일한)를 Google 서버로 보낼 것입니다. Google은 그것이 이미 화이트리스트에 오른 합법적인 앱인지 알아보거나 아니면 알려진 안드로이드 맬웨어 샘플인지 알아내서 여러분이 그것을 설치하지 못하게 하기 위해 확인을 할 것입니다.

물론, Google은 사용자가 그 설치를 진행할지 여부를 결정하기 전에는 그 앱을 보지 않았을 가능성이 매우 큽니다.

록하이머(Lockheimer)는 컴퓨터월드에 다음과 같이 말했습니다:

'우리는 Play Store에 70만개 어플리케이션의 카탈로그를 가지고 있는데, 그 이상으로, 우리는 나타나고 있는 APK 관점에서 항상 웹 상의 자료들을 스캔 받아오고 있습니다. 어떤 것이 Play Store에 있든지 없든지 간에 우리는 지금 앱 생태계를 잘 이해하고 있습니다.'

과거에 그 문제에 대한 Google의 태도가 무모한 것처럼 표현되었던 것이 있었기 때문에, 맬웨어로부터 안드로이드 사용자들을 보호하기 위해 좀 더 노력하고 있다는 것은 좋은 일입니다.

예를 들어, 몇 년 전 Google의 오픈소스 프로그램 매니저 크리스 디보나(Chris DiBona)는 안티바이러스 벤더들을 '사기꾼과 스캐머들(charlatans and scammers)'로 묘사했고, 안드로이드용 바이러스 보호제품을 판매하는 회사에 근무하는 누군가는 스스로 “수치스러워” 했을 것입니다.

그것은 마치 Google이 이제 안드로이드 사용자용 바이러스 보호제품을 공급하는 것처럼 들립니다.^^

Google이 안드로이드 기기에서의 맬웨어 위협에 대해 확실하게 정신을 차렸다는 것은 좋은 일입니다.

공식 안드로이드 앱 스토어(Google Play)으로부터 맬웨어를 없애려는 그들 자신의 시도는 다양한 레벨의 성공과 맞닥뜨리게 됩니다.

그리고 사이버범죄자들이 인스타그램(Instagram)의 가짜 버전과 앵그리 버드를 포함해 안드로이드 맬웨어를 퍼트리기 위해 서드파티 마켓플레이스를 자주 사용한다는 것은 명확합니다.

Google의 바이러스 체크가 얼마나 좋을 지는 두고 봐야 할 것으로 할 것입니다, 그리고 그 서비스를 채택하는 것은 사용자에게 달려있습니다.

만약 여러분이 안드로이드 맬웨어에 대해 우려하고 있다면, 독립적인 관점으로 소포스의 안드로이드용 무료 안티바이러스 제품을 사용해볼 것을 바랍니다.

관련된 뉴스로, 컴퓨터월드는 안드로이드 4.2가 어떤 앱이 여러분에게서 돈을 빼가는 SMS문자메시지를 보내려고 할 때마다 경고할 것이라고 합니다.

매우 많은 안드로이드 맬웨어가 제작료를 벌기 위해 SMS 메시지에 의존하기 때문에, 나쁜 짓을 할 가능성에 대해 사용자에게 경고하는 방식은 좋은 소식 입니다.

댓글을 달아 주세요

posted by Kwan's 2012. 11. 6. 18:43


역습! 조지아(Georgia)를 염탐하는 동안, 그의 웹캠에 잡힌 해커 피의자

조지아(Georgia)는 악성코드를 웹사이트에 투입하고, 비밀정보를 훔치는 스파이웨어를 설치하며 컴퓨터 네트워크를 공격한 것에 대해 러시아에 근거지를 둔 해커를 오랫동안 비난해 왔습니다.

이제 조지아 정부의 CERT(Computer Emergency Response Team)는 인터넷 공격이 러시아 보안 기관과 연관되어 있었다고 비난하고, 비밀리에 그의 컴퓨터를 해킹하고 그의 비디오 자료를 훔쳤다고 생각되는 해커에게 심지어 보복을 하였습니다.

27 페이지짜리 보고서[PDF]에서, 조지아 정부는 2011년 초에 조지아 뉴스 웹사이트가 취약점을 악용하기 위해 어떻게 해킹을 했는지, 그리고 감염된 컴퓨터를 하이재킹하고 중요한 자료를 검색했던 맬웨어를 어떻게 퍼트렸는지 설명하고 있습니다.

그 맬웨어는 워드 문서를 훔쳤을 뿐만 아니라, 스크린샷을 훔치고 나중에는 네트워크를 통해 퍼져나가도록 기능이 향상되어, 감염된 PC의 웹캠을 통해 대화내용도 엿들었습니다.

CERT-Georgia 리포트에 따르면, 공격자의 지휘통제실에 대한 분석자료에서 적어도 390대 컴퓨터가 공격에 감염되었다고 밝혀졌습니다. 감염된 PC의 70%가 조지아에 기반을 두고 있고, 다른 희생 PC들은 미국, 캐나다, 우크라이나, 프랑스, 중국, 독일, 러시아에서 발견되었습니다.

조지아에서 공격 당한 컴퓨터들은 대부분 보고서에서 지적한 정부 기관과 은행, 핵심 기반시설에 속한 것들입니다.

함정을 놓은 조지아 공무원 
조지아 CERT가 그 맬웨어로 자신의 PC 중 하나를 고의로 감염시켜서, 드라이브에 “조지아 나토(NATO) 협정”이란 이름의 ZIP파일을 심었는데, 그것을 꼭 해커들이 거부하지 못하고 가져가 해킹이 드러날 수 있기를 바랬습니다.

과연 해커는 그 저장된 파일을 훔쳤고 조지아 CERT가 안에 심어두었던 맬웨어가 실행되었는데, 이는 조사관들이 이제 그 해커의 컴퓨터를 컨트롤할 수 있게 되었다는 것입니다.

이것은 그의 PC 앞에서 작업 중인 용의자의 이미지를 캡쳐하게 하는 비교적 어린애들 장난처럼 되어 버렸습니다.

나는 그가 지금 그의 웹캠 덮개를 가리지 않은 것을 후회하고 있다고 장담합니다.

그 해킹 혐의자의 비디오 자료를 캡쳐하는 것 말고도, CERT 연구원들은 피의자의 컴퓨터에서 어떻게 그의 맬웨어를 이용하고 타깃을 감염시키는지에 대한 지침서를 제공하는 러시아인의 이메일 대화내용을 찾았다고 주장합니다. 더군다나, 그 해킹 피의자가 사는 지역, ISP, 이메일 주소와 다른 정보들도 입수했다고 합니다.

이상한 것은, 그 해커들이 사용한 도메인이 러시아 연방 보안국(FSB)과 밀접한 관련이 있는 러시아 총무성(Russian Ministry of Internal Affairs), 군수과(department of logistics) 소유의 모스크바에 있는 주소로 등록이 되었다는 것입니다.

더군다나, CERT-조지아에 따르면, 웹사이트들은 악명 높은 RBN(Russian Business Network)으로 링크가 된 감염된 조지아의 컴퓨터를 컨트롤 하는데 사용되었습니다.

이 해커들 재판에 회부할 것인가?
비록 조지아 정부당국이 공격에 가담한 강력한 피의자인 남자에 대한 많은 정보를 모은 것처럼 보일지라도, 모스크바 당국이 못 본체 한다면 그것은 놀라운 일이 아닐 것입니다.

조지아와 러시아간의 관계는 가장 좋은 때에도 불편하였지만, 이 남자가 정말 러시아 보안 기관과 관련되어 있다고 하면 모스크바 당국이 그에 대해 어떤 조치를 취할지는 상상하기도 어렵습니다.

여러분은 조지아 수사관들의 전체 보고서를 여기[pdf]에서 다운 받을 수 있습니다.

댓글을 달아 주세요

posted by Kwan's 2012. 11. 1. 20:29


페이스북 사용자들은 누군가가 자신의 담벼락에 모욕적인 글을 남겼다고 하는 청하지도 않은 불필요한 이메일에 대한 경계를 늦추지 않도록 주의를 해야 합니다.

안녕하세요,
[OOO가] 여러분의 담벼락에 글을 남겼습니다.
[OOO
는] 'you piece of shit!!!'이라는 욕을 썼습니다.
내용을 보세요 
이 글에 대한 답변은 이 메일로 회신해주십시오.
감사합니다.
페이스북 팀

물론, 여러분이 경고를 받았다면 여러분은 누가 이메일을 보냈던지 진짜 페이스북에서 보낸 것처럼 속인 것에서 아주 어리석은 짓을 했다는 것을 눈치챘을 것입니다. 보낸 사람을 자세히 보면 예를 들어 주소가 아래와 같습니다.

comments@faceb00k.com

하지만 몇몇 컴퓨터 사용자들이 속아서 그 링크를 클릭할 것이라는 위험이 항상 있습니다.

그리고 만약 여러분이 자세한 내용을 보려고 클릭하는 실수를 저지른다면, 여러분은 실제 페이스북 사이트로 이동하는 대신에 소포스에서 Mal/Iframe-W로 감지했던 악성 iFrame 스크립트를 제공하는 웹사이트로 방문하게 될 것입니다. 몇 초안에 여러분의 컴퓨터는 스스로 악명높은 블랙홀 익스플로잇 키트(Blackhole exploit kit)을 통한 맬웨어 위험에 처하게 된 것을 알게 될 것입니다.

하지만, 사이버범죄자들이 연막 활동처럼 공격하기 위해 여러분의 웹브라우저를 페이스북 페이지로 재이동 시켰기 때문에 여러분은 눈치채지 못할지도 모릅니다.

이 페이스북 페이지 소유자가 맬웨어 공격에 어떻게든 관련되어 있다는 암시는 전혀 없습니다

항상 주의를 기울일 것을 명심하십시오. 만약 여러분이 침착하게 대응을 했다면 이런 위협으로부터 보호되었을 것입니다.

만약 여러분이 “Faceb00k” 스펠이 잘못되었다는 것을 알지 못했을지라도, 마우스를 그 링크에 올리면 그것이 진짜 페이스북 웹사이트로 직접 연결하지 않는다는 것을 알 수 있습니다.

분명한 것은, 최신 안티바이러스 소프트웨어를 실행하고 여러분의 컴퓨터를 최신 취약성에 대해패치 하는 것이 매우 중요합니다.

만약 여러분이 여러분의 컴퓨터를 보호하기 위해 적절한 조치를 취하지 않는다면, 어느 날 사이버범죄자들이 여러분을 속여 나쁜 결정을 하게 하거나 위험한 웹사이트를 방문하도록 하게 하는 적절한 소셜 엔지니어링 속임수를 찾게 될지도 모릅니다.

댓글을 달아 주세요

posted by Kwan's 2012. 10. 22. 20:29


개인 정보 보호 전문가들이 iPhone과 iPad 사용자들의 온라인 성향을 추적하기 위해 Apple이 UDID(universal device identifier)를 사용하는 것에 항의했을 때 Apple의 부정행위가 드러나게 되었습니다.

이와 관련된 문제는 해커들이 디지털 미디어 회사인 블루토드(Bluetoad) 소유의 시스템을 감염시키고 거의 100만개 기기의 식별기호(ID)를 해킹한 이후 더욱 명백하게 되었습니다.

이 정도면 충분한 거겠죠? 글쎄요. 아마도 아닌 것 같습니다.

기기 추적이 iOS 6와 함께, 새로운 추적 기술인 IDFA(광고주를 위한 인식기, identifier for advertisers)로 다시 돌아온 것 같습니다.

UDID처럼, IDFA는 여러분의 Apple 기기를 고유하게 인식합니다.

여러분이 여러분의 iPhone이나 iPad로 검색한 웹사이트는 IDFA를 요청할 수 있습니다. 하지만, UDID와는 달리 IDFA는 개인적으로 추적할 수는 없고, 단지 특정 기기로 하는 온라인 행동 패턴을 연결만 합니다.

또한 UDID와 달리, IDFA는 Apple이 기본으로 사용하게끔 해놓지만 iOS 안에서 사용안함으로 할 수 있습니다.

Apple 본사는 지난달 iOS의 최신 버전을 출시한 이후로 IDFA에 대해서는 한마디도 언급하지 않았습니다. 하지만 발행된 보고서에 의하면, IDFA는 광고주들이 사용자들이 핸드폰으로 하는 서핑 활동을 추적하고 구매나 다운로드 같은 “컨버전”까지 포함하는 상호작용을 허용하면서, 핸드폰에서 쿠키를 막는 것처럼 행동한다고 합니다.

모바일 어플리케이션 분석회사 압살라(Apsalar)의 CEO, Michael Oiknine이 6월에 회사 블로그에 올렸듯이, IDFA는 신뢰를 잃은 UDID를 능가하는 많은 이점을 제공한다고 합니다.

우선 첫 번째로, IDFA는 기기가 리셋될 때 스스로 리셋됩니다. 그것은 사용자들이 그들의 핸드폰을 새로운 소유주에게 팔거나 줄 때 사용자 데이터가 훼손되는 것을 방지한다고 Oiknine은 전합니다.

사용자에게 추적에 대한 옵트아웃 기능을 부여한 것은 프라이버시 관점에서 만족을 줄 것입니다.

그리고, Apple이 모바일 세상에서는 600 파운드에 달하는 고릴라 같은 존재이기 때문에, IDFA는 OpenUDID와 ODIN같은 경쟁하고 있는 표준에 의해 생길 혼란을 없애면서 대중적으로 채택될 가능성이 충분히 있다고 그는 전합니다.

하지만 다른 이들은 IDFA에 포함된 개인 정보 보호에 대해 회의론을 표합니다.

무엇보다도, 비평가들은 IDFA가 기본으로 사용함으로 되어 있는 것과 Apple이 추적 사용안함 기능을 핸드폰에 대한 기술 정보가 나와 있는 일반(General) 설정 아래의 보통 잘 보지 않는 “About” 섹션에 넣은 것에 대해 지적합니다.

비평가들은 그 설정은 iPhone의 개인정보(Privacy) 설정 안에 속하는 것이 적절하다고 주장합니다.

더군다나, Apple은 사용자들이 “Limit Ad Tracking(광고 추적 제한)”을 사용함으로써 추적을 피할 수 있다고 이야기 하는데, 여기에도 오해를 하도록 약간의 속임수가 들어 있어서 사용자들이 이미 제한 시켰다고 생각하는 옵트-아웃 옵션이 사실은 추적을 하게끔 해 놓았습니다.

만약 여러분이 여러분의 iOS6 기기에서 IDFA를 사용하는 기기 추적 기능을 사용하지 않으려면, 다음과 같이 하십시오.
1) 설정(Setting)을 클릭합니다.
2) 일반 설정을 하기 위해 일반(General)을 클릭합니다.
3) About을 클릭합니다.
4) 스크롤을 내려 광고(Advertising)를 클릭합니다.
5) Limit Ad Tracking을 'ON'으로 설정합니다.

여러분, 모바일 서핑 잘 하세요!

댓글을 달아 주세요

posted by Kwan's 2012. 10. 16. 18:33


어제 대략 오후1시경에, 소포스랩에서는 다가오는 미국 대통령 선거에 관심 있는 이들을 타깃으로 하는 첫 번째 악성 이메일을 받았습니다.

그것은 2008년 대선 당시에 봤던 악성 활동의 급증을 감안하면 그렇게 놀라운 것은 아닙니다. 아마도 그 유혹이 아주 잘 작용되어, 심지어 오바마 대통령이 당선된 이후에도 수개월간 계속 되었습니다.

이번 스팸 캠페인에 대한 제목줄에는 “CNN 속보 - 미트 롬니(Mitt Romney) 대통령 유력”이라고 적혀있습니다.

열어보면 그것은 제일 먼저 “투표자의 60% 이상이 미트 롬니 지지”라는 것을 포함하여 오늘의 주요 이야기가 나오는 CNN 뉴스처럼 보입니다.


좀 더 큰 이미지를 보시려면 상단 이미지를 클릭하세요.

비록 대통령 선거가 여러분 취향이 아니라서, 이 이메일에서 홍보하는 감질나는 다른 모든 이야기들을 선택하더라도 모두 동일한 컨텐트로 연결됩니다. 그렇지만, 모두 CNN.com의 컨텐트는 아닙니다.

모든 링크들은 표준 블랙홀 익스플로잇 킷 형식을 따릅니다. 이메일에 있는 링크는 여러분을 공격자들에 의해 컨트롤되는 다른 사이트에서 발견되었던 몇몇 불쾌한 JavaScript로 향하게 하는 페이지로 이르게 합니다.

내가 서핑했던 컴퓨터는 현재 블랙홀에서 배포된 어떠한 익스플로잇에도 취약하지 않아서, 내가 내 스스로 감염시키도록 하기 위한 사회 공학(social engineering)에 의존하였습니다.

나는 실제 Adobe Flash Player 다운로드 페이지와 동일하게 보이는 페이지를 받았습니다. 미국 메릴랜드에 있는 가상 개인 서버에서 호스팅되었던 것은 제외하고 말이죠.

그것은 클릭할 필요 없이 다운로드를 진행했습니다.

update_flash_player.exe
SHA1: 875e224c014b2f2ebe9841944becc5dd0e774f61

나는 이런 기능이 블랙홀 2.0에서 새롭다고 확실히 말할 수는 없지만, 이런 행동을 이전 버전의 블랙홀에서는 보지 못했습니다.

이것은 Java와 Flash와 같은 플러그인이 실행되지 않도록 하는 Windows 8과 인터넷 익스플로러의 최신 UI 버전 출시에 대한 준비일 수 있었습니다.

왜 사용자들이 감염되지 않도록 사전동의를 구하지 않는 거죠?

만약 여러분이 허위 업데이트를 실행한다면 더 많은 악성 실행파일을 다운로드하는 많은 사이트로 연결을 시도합니다. 제 경우에는 다음과 같은 파일을 다운로드 하였습니다.

e1Vemf.exe
SHA1: ba90b002f5dd5dbd640cf39e9646d614e5f2ea83

스캐머들은 뉴스 토픽에서 충분히 공통적인 관심이 있을 때는 사람들을 속일 기회를 절대 놓치지 않습니다.

그것이 이메일, 트위터, 페이스북 그리고 다른 푸시 기술을 통해 여러분에게 다가가는 뉴스처럼 보일지도 모르지만, 그것은 종종 또 다른 스캠입니다.

댓글을 달아 주세요

posted by Kwan's 2012. 10. 8. 19:40


핸드폰 소유자의 집과 다른 공간들의 3D 비주얼 맵을 만들기 위해 핸드폰에 내장된 카메라와 기타 공간적인 센서를 이용하는 악성 안드로이드 어플리케이션이 생겨났다고 연구원들은 말합니다.

미 해군(U.S. Navy)과 인디아나 대학(University of Indiana)에서 일하는 연구원들에 의해 PlaceRaider라는 별칭을 가진 맬웨어의 기술이 검증되었습니다.

그 맬웨어는 안드로이드 모바일 기기에서 작동하면서, 빠르게 발전하는 모바일 플랫폼이 가상 도난(virtual theft)의 새로운 형태를 가능하게 할지도 모른다는 방식에 주의를 환기시키기 위해 제작되었습니다.

지난 목요일에 발표한 문서에서 적었듯이, 연구원들은 좀 더 파워풀한 핸드폰들이 아이폰 5와 안드로이드 기기와 같은 최신 모델의 모바일 폰에 내장된 센서 수 증가에 영향을 주는 “sensory malware”라 칭한 것에 대한 서막을 열었다고 말하였습니다.

그들의 의견을 증명하기 위해, 연구원들은 해커들이 어떻게 “스마트폰 소유자의 개인적인 내부공간에 대한 풍부한 3D 모델”을 만들 수 있는지 보여주기 위해 PlaceRaider를 만들었습니다.

그 맬웨어는 희생물이 그 공간 안에서 움직이면 알아 내기 위해 GPS와 가속도계(accelerometer)와 같은 핸드폰에 내장된 센서를 이용합니다. 그러면, 내장된 카메라는 가끔씩 내부 공간의 스냅사진을 찍어 원격 서버에 전송하고, 그 공간의 3D 모델을 형성하기 위해 그것들을 조합하곤 합니다.

특히 안드로이드는 그 일에 제격입니다. 제작자들은 안드로이드 API가 핸드폰에서 가속도계나 자이로스코프와 같은 센서 데이터에 접속하기 위한 어플리케이션을 만들 때 어떠한 특별한 퍼미션도 요구하지 않는다고 합니다.

그리고 카메라 앱 안에 PlaceRaider를 번들로 넣음으로써, 카메라에 접근하거나 로컬스토리지에 쓰기를 할 때 요구되었던 그런 퍼미션들을 사용자들이 승인하도록 쉽게 속일 수 있었다고 제작자들은 말했습니다.

테스트에서, 연구원들은 대상자의 핸드폰에 PlaceRaider를 설치했고 그것들의 움직임과 그들이 차지했던 공간을 추적했습니다.

연구원들은 많은 양의 데이터를 내보내는 어플리케이션의 능력과, 테스트 대상의 점유지 근처에 있는 데이터들을 사용하기 위한 능력을 테스트했습니다. 연구 보고서에 의하면, 그 타깃의 집이나 직장에서 컴퓨터 화면이나 서류에 표시된 정보의 내용을 확인하기 위해 확대하면서 말입니다.

PlaceRaider와 유사한 다른 악성 “sensory” 어플리케이션들은 최신 핸드폰과 최신 맬웨어 제작자의 능력 내에서 훌륭합니다.

하지만, 그들은 그것을 이행하는 데 있어서 몇 가지 기술적인 장애를 명확히 해야만 했습니다. 휴리스틱(Heuristic) 센서들은 한 공간에 대해 어떠한 새로운 정보도 들춰내지 못했던 정크 사진들을 없애기 위해 필요하였고, 그 맬웨어에 의해 수집된 데이터의 양은 핸드폰을 압도할 수 있을 만큼 충분히 많은 양입니다. 그것은 제작자들로 하여금 PlaceRaider가 전송되는 데이터를 자동으로 압축하기 위한 방법을 만들도록 요구하였습니다.

맬웨어 이외에도, 제작자들은 또 어플리케이션이 수집한 데이터를 악용하기 위한 툴을 만들었습니다. 예를 들면, 그들은 공격자들이 희생자의 3D 공간을 시각적으로 탐색하고 민감한 정보를 담고 있을지도 모를 공간을 확대하도록 허락할 툴을 만들었습니다. 그 다음에 핸드폰은 그러한 공간에 대한 새롭고, 고해상도의 이미지들을 검색하도록 지시 받을 수 있었습니다.

제작자들은 PlaceRaider 같은 맬웨어가 더욱 더 이행되기 어렵게 하기 위해서 스마트폰의 많은 변화들을 추천합니다.

안드로이드와 iOS 기기들은 센서 데이터에 접속하는데 퍼미션을 요구할 수 있고, 카메라를 포함하여 은밀한 방법으로 센서를 사용하는 어플리케이션이 나타나면 사용자들에게 경고를 할 수 있습니다.

아무리 작은 변화라도 PlaceRaider가 목적을 달성하는 것을 더욱 더 어렵게 만들 것입니다. 예를 들면, 핸드폰 제조사들은 카메라를 동작시키기 위해 그 핸드폰과 물리적인 상호작용을 요구할지도 모릅니다. 아니면 셔터 소리없이 사진을 찍는 것을 불가능하게 할지도 모릅니다.

댓글을 달아 주세요

posted by Kwan's 2012. 9. 18. 19:30


새롭게 발견된 수많은 안드로이드 악성 어플리케이션들이 빠른 속도로 증가하고 있습니다. 올 해 소포스랩에서 발견한 유니크한 샘플 숫자만으로 보더라도, 우리는 2011년 전체에 비해 41배 증가한 것을 알 수 있습니다. 그리고 올해는 아직 9월까지인데도 말입니다.

 


흥미롭게도, Andr/Boxer 계열이 새롭게 발견된 샘플들의 거의 반을 차지합니다. Boxer는 SMS 사용료 사기 맬웨어인데, 특히 서유럽 시장을 타깃으로 하기 때문에 다른 나라 사용자들에게는 큰 위협을 가하지 않습니다.

반대로, Sophos Mobile Security 사용자들이 소포스랩에 보낸 실제 발견 리포트를 보면 다릅니다. Boxer계열의 영향은 우리가 발견한 샘플 숫자보다도 훨씬 적습니다.

보고된 상위 2개의 발견은 PUAs(potentially unwanted applications)에 대한 것입니다. 그 첫 번째는 PJApps로 “블랙 마켓”이라 불리는 제3시장을 통해 크랙되어 제공되는 어플리케이션에 대한 것입니다. 블랙 마켓 어플리케이션은 Google Play에서 제거되기 전까지 오랜 시간 동안 제공되어 왔고, Google Play의 베팅(vetting) 정책을 향상시킨 것으로 나타났습니다.

두 번째는 NewYearL로 적극적인 광고 프레임 에어푸쉬(Airpush)가 번들로 들어있는 어플리케이션입니다. 이 2개의 PUAs가 합쳐서 전체 발견 리포트의 반 이상을 차지합니다.

사용자들이 안드로이드 맬웨어 발견의 기하급수적인 증가를 고려하여 악성 앱의 근원지에 대해 우리에게 물어볼 때, 우리는 종종 악성 앱 대부분은 평판이 좋지 않은 공유 사이트나 제3시장에서 비롯된다고 얘기해 줍니다. 따라서, 여러분은 가장 안전한 앱의 근원지는 표준 안드로이드 마켓인 Google Play라는 것에 동의할 것 같습니다. 주의: 여러분이 설치하려고 하는 앱이 많은 사용자들에 의해 설치되고 평판이 좋은 지 확인하십시오.

물론, Google 베팅 프로세스와 Google Bouncer를 피해 갈 수 있는 악성 어플리케이션이 종종 있었고, 계속해서 있을 것이고, 지금도 있습니다. 악성 앱이 점점 더 복잡해지고 있기 때문에, 우리는 불가피하게 더 많은 기기들을 감염시키도록 하면서 좀 더 오랜 기간 동안 악성 기능을 숨길 수 있는 좀 더 복잡한 멜웨어를 보게 될 것입니다.

안타깝게도, 60만 정도의 앱들이 Google Play에서 제공되고 있는데, 거기에는 엄청나게 많은 어플리케이션들이 자신들의 앱에 많은 광고 프레임워크를 번들로 끼워 넣음으로써 돈을 버는 게 최고의 방법이라고 생각해 왔던 열정적인 개발자들에 의해 만들어지고 있습니다. 일부 광고 프레임워크는 잘 돌아가고 있는데 다른 것들은 꽤 적극적입니다. 그들은 스폰서 앱에 대한 링크를 실행 영역에 배치시키고 있는데, 그 앱이 실행되지 않을 때에도 광고를 표시하고 심지어 개인 정보를 광고 서버로 보낼 가능성도 있습니다.

비록 그와 같은 행동이 정말로 악의적인 것은 아닐지라도, 오랜 기간 동안 사용자들은 Google의 행동이 어플리케이션에 번들로 제공되는 광고 프레임워크에 대한 컨트롤을 향상시키도록 요구된 것을 느꼈습니다. 그리고 사실 Google은 최근에 안드로이드 개발자 약관(Android developer's policy)을 강화시키는 것에 대한 조치를 취하였습니다.

모든 등록된 개발자들에게 보낸 이메일에서 Google은 광고 정책에 대한 변화를 명확하게 언급하였습니다.

추가로, 우리는 앱에서의 광고 행위를 고심하는 새로운 섹션을 추가하였습니다. 첫 번째, 여러분의 앱에 있는 광고는 앱 자체와 동일한 룰을 따라야 한다는 것을 명심하십시오. 또, 광고가 소비자들을 속이거나 앱에 대한 접근을 방해하고 다른 앱들을 간섭하는 것과 같은 행동 장애를 이용함으로써 경험에 부정적인 영향을 끼치지 않는 것이 중요합니다.

약관 변경은 확실히 환영 받았고 적극적인 광고는 그 플랫폼의 사용자 경험을 저하시킨다는 우리의 의견을 반영한 것입니다. 유감스럽게도, 약관들은 역시 실시되어야 하고, 이런 변경이 실제로 Google Play에 있는 앱들에게 어떻게 반영되는지를 지켜 보는 것은 흥미로울 것입니다.


댓글을 달아 주세요