아직 Android 4.4 KitKat으로 업그레이드하지 않으셨습니까? 다음은 전환에 대한 약간의 격려를 줄 수 있는 것입니다. KitKat 이전 휴대폰의 기본 브라우저에서 심각한 문제가 발견되었으며 악성 웹사이트가 다른 웹사이트의 데이터에 액세스할 수 있습니다. 무서운 소리? 알아야 할 사항은 다음과 같습니다.
Rafay Baloch 연구원이 처음 발견한 이 문제는 악의적인 웹사이트가 임의의 JavaScript를 다른 프레임에 삽입하여 쿠키를 도난당하거나 웹사이트의 구조와 마크업이 직접 간섭을 받는 것을 볼 수 있음을 봅니다.
보안 연구원들은 인기 있는 보안 테스트 프레임워크인 Metasploit의 제작자인 Rapid7이 이를 '프라이버시 악몽'이라고 묘사하면서 이에 대해 크게 우려하고 있습니다. 그것이 어떻게 작동하는지, 왜 걱정해야 하는지, 그리고 그것에 대해 무엇을 할 수 있는지 궁금하십니까? 자세한 내용은 계속 읽어보세요.
기본 보안 원칙:우회
애초에 이러한 공격이 발생하지 않도록 하는 기본 원칙을 동일 출처 정책(Same Origin Policy)이라고 합니다. 즉, 한 웹사이트에서 실행되는 클라이언트 측 JavaScript가 다른 웹사이트를 방해할 수 없어야 합니다.
이 정책은 1995년 Netscape Navigator 2와 함께 처음 도입된 이래로 웹 응용 프로그램 보안의 기초가 되었습니다. 모든 단일 웹 브라우저는 이 정책을 기본 보안 기능으로 구현했으며 결과적으로 이러한 정책을 보는 것은 매우 드뭅니다. 야생의 취약점
https://www.youtube.com/watch?v=WnjZJ38YEB4
SOP 작동 방식에 대한 자세한 내용은 위의 비디오를 시청하는 것이 좋습니다. 이것은 독일에서 열린 OWASP(Open Web App Security Project) 행사에서 찍은 것으로, 지금까지 본 프로토콜 중 가장 잘 설명된 것 중 하나입니다.
브라우저가 SOP 우회 공격에 취약하면 손상될 여지가 많습니다. 공격자는 HTML5 사양에 도입된 위치 API를 사용하여 피해자의 위치를 찾는 것부터 쿠키를 훔치는 것까지 모든 것을 실행할 수 있습니다.
다행히 대부분의 브라우저 개발자는 이러한 공격을 심각하게 받아들입니다. 그래서 '야생'에서 그러한 공격을 목격하는 것이 더욱 주목할 만합니다.
공격 작동 방식
그래서 우리는 Same Origin Polity가 중요하다는 것을 압니다. 그리고 기본 Android 브라우저의 대규모 실패로 인해 잠재적으로 공격자가 이 중요한 보안 조치를 우회할 수 있다는 것을 알고 있습니까? 하지만 어떻게 작동합니까?
Rafay Baloch가 제공한 개념 증명은 다음과 같습니다.
[더 이상 사용할 수 없음]
자, 여기에 무엇이 있습니까? 글쎄요, iFrame이 있습니다. 이것은 웹사이트가 다른 웹페이지 내에 다른 웹페이지를 포함할 수 있도록 하는 HTML 요소입니다. 그들은 예전만큼 많이 사용되지 않습니다. 주로 SEO의 악몽이기 때문입니다. 그러나 여전히 종종 찾을 수 있으며 여전히 HTML 사양의 일부이며 아직 사용되지 않습니다.
그 다음은 입력 버튼을 나타내는 HTML 태그입니다. 여기에는 클릭하면 현재 웹사이트의 도메인 이름을 출력하는 특수하게 조작된 JavaScript(후행 '\u0000'?)가 포함되어 있습니다. 하지만 안드로이드 브라우저의 오류로 인해 결국 iFrame의 속성에 접근하게 되고, 자바스크립트 경고창으로 'rhaininfosec.com'을 출력하게 됩니다.
Google Chrome, Internet Explorer 및 Firefox에서 이러한 유형의 공격은 단순히 오류가 발생합니다. (브라우저에 따라) 또한 브라우저가 공격을 차단했음을 알리는 로그를 JavaScript 콘솔에 생성합니다. 단, 어떤 이유로 Android 4.4 이전 기기의 기본 브라우저는 그렇게 하지 않습니다.
도메인 이름을 출력하는 것은 그다지 훌륭하지 않습니다. 그러나 쿠키에 대한 액세스 권한을 얻고 다른 웹 사이트에서 임의의 JavaScript를 실행하는 것은 오히려 걱정입니다. 고맙게도 할 수 있는 일이 있습니다.
무엇을 할 수 있습니까?
사용자는 여기에 몇 가지 옵션이 있습니다. 첫째, 기본 Android 브라우저 사용을 중지합니다. 그것은 오래되었고 안전하지 않으며 현재 시장에는 훨씬 더 매력적인 옵션이 있습니다. Google은 Android용 Chrome을 출시했으며(Ice Cream Sandwich 이상을 실행하는 기기에만 해당) Firefox 및 Opera의 모바일 변형도 사용할 수 있습니다.
특히 Firefox Mobile은 주목할 가치가 있습니다. 놀라운 브라우징 경험을 제공할 뿐만 아니라 Mozilla의 자체 모바일 운영 체제인 Firefox OS용 애플리케이션을 실행할 수 있을 뿐만 아니라 수많은 멋진 추가 기능을 설치할 수 있습니다.
https://www.youtube.com/watch?v=zCe_1DxBQDc
특히 편집증적인 사람이 되고 싶다면 Firefox Mobile용 NoScript 이식도 있습니다. 그러나 대부분의 웹 사이트는 클라이언트 측의 멋진 기능을 렌더링하기 위해 JavaScript에 크게 의존하고 있으며 NoScript를 사용하면 대부분의 웹 사이트가 중단될 것이 거의 확실합니다. 이것은 아마도 James Bruce가 그것을 '악의 삼중주'의 일부로 묘사한 이유일 것입니다.
마지막으로, 가능하면 Android 운영 체제의 최신 버전을 설치하는 것 외에도 Android 브라우저를 최신 버전으로 업데이트하는 것이 좋습니다. 이렇게 하면 Google에서 이 버그에 대한 수정 사항을 추가로 출시할 경우 사용자를 보호할 수 있습니다.
하지만 이 문제가 잠재적으로 Android 4.4 KitKat 사용자에게 영향을 미칠 수 있다는 소문이 있다는 점은 주목할 가치가 있습니다. 그러나 독자들에게 브라우저를 바꾸라고 충고할 만큼 충분히 실질적인 것은 나타나지 않았습니다.
주요 개인정보 버그
실수하지 마십시오. 이것은 주요 스마트폰 보안 문제입니다. 그러나 다른 브라우저로 전환하면 사실상 무적 상태가 됩니다. 그러나 Android 운영 체제의 전반적인 보안에 대해 몇 가지 질문이 남아 있습니다.
매우 안전한 iOS 또는 (내가 가장 좋아하는) Blackberry 10과 같이 좀 더 안전한 것으로 전환하시겠습니까? 아니면 Android에 충실하고 Paranoid Android 또는 Omirom과 같은 보안 ROM을 설치하시겠습니까? 아니면 그렇게 걱정하지 않으셔도 됩니다.
그것에 대해 이야기합시다. 댓글창은 아래와 같습니다. 여러분의 생각을 듣고 싶습니다.