애플 모바일 운영체제(iOS) 보안 업데이트 권고

출처: 한국인터넷침해대응센터(krcert) http://www.krcert.or.kr/secureNoticeList.do □ 개요 o 최근 애플社에서 모바일운영체제의 취약점을 해결한 iOS 4.3.5를 공개[1][2] o iOS 4.3.5는 iPhone, iPad, iPod Touch에 대한 보안 업데이트를 포함함 o 이에 국내 iPhone, iPad, iPod Touch 이용자들에게 소프트웨어 업데이트를 권고함 □ 설명 o 애플社에서 1가지 보안업데이트를 포함한 iOS 4.3.5를 공개 o 관련 취약점은 다음과 같음 – 인증서 검증 취약점 (CVE-2011-0228) : 운영체제 내에서 공개키 인증서(X.509)의 특정 인자값 (BasicContraints : 타 인증서 발급 권한 설정)을 검증하는 과정에서 취약점이 발생하며, 공격자는 이를 악용하여 암호(SSL/TLS) 통신상의 데이터를 탈취하거나 변조 가능[3] □ 해당 시스템 o 영향 받는 소프트웨어 – 애플 iOS 4.3.4이하 버전이 설치된 아이폰(아이폰3GS, 아이폰4), 아이패드(아이패드, 아이패드2) 및 아이팟 터치 □ 해결방안 o iOS 4.3.5버전으로 업데이트 ① PC에서 아이튠즈를 실행하고 iPhone을 PC와 연결 ② “업데이트” 버튼을 클릭하여…

Google’s Shorten URL Service 서비스를 이용한 악성코드 유포사례

단축 URL 서비스(Shorten URL Service)란? 단축 URL 서비스(Shorten URL Service)는 Twitter, FaceBook같은 SNS(Social Network Service)에서 활발히 사용되고 있으며 포스팅할 수 있는 글자 수의 제한을 보완하기 위해서 원본 URL을 짧게 변환하는 것이다.                                                         [그림 1] Google's Shorten URL Service   [그림 1]의 예처럼 원본 URL을 Google's Shorten URL Service를 이용하여 단축 URL로 변환하면 원본 URL의 길이보다 짧아 지므로 그 만큼의 포스팅할 수 있는 글자 수를 확보할 수 있는 장점이 있다. 하지만 이를 악용한 사례(악성코드 유포, 광고 등)가 자주 발견되고 있어 주의가 필요하다. 단축 URL 서비스의 가장 큰 위험성은 바로 “단축 URL을 신뢰할 수 있는가?”란 문제인데 사용자…

Drive by Download 기법의 안드로이드 악성앱 Ggtrack

1. Android-Trojan/Ggtrack 알아보자! 기존의 안드로이드 악성코드는, 알려진 바와 같이 Google Android Market 에 공개되어 있는 정상 앱을 위장하여, 악의적인 코드를 삽입하거나, 추가적인 악성앱이 설치되도록 리패키징하여, 다시 Google Android Market 이나 3RD Party Market 에 업로드한 형태를 다수 보여왔다. 이번 포스팅에서 다루는 악성앱은, Drive by Download 기법의 윈도우 pc에 감염되는 악성코드와 같은 방식으로 감염을 시도하는 안드로이드 악성코드에 대해 알아 보자. [그림] 악성코드 관계도   [그림] 악성앱 관련 트래픽 조회 화면(알렉사 조회화면) 2. Ggtrack 악성앱 Battery Saver 정보! * 아래 그림(표)에서 알 수 있듯이 앱 목적에 맞지 않게 과도한 권한을 필요로 하고 있다. [그림] Battery Saver 권한 정보 [그림] Battery Saver 설치/실행 정보 * 서버와 통신하는 일부 코드   * SMS를 모니터링 하여, 아래와 같은 번호가 일치할 경우 사용자에게 메시지를 숨김으로써, 사용자 모르게 악의적…

노출형 배너 광고를 이용한 악성코드 유포사례

해킹된 사이트를 통한 악성코드 유포는 평일이면 잠잠하다가 주말이 시작되는 금요일 저녁부터 발생하여 토, 일요일에 집중된다. 이번 주는 일부 블로그에서 악성코드가유포되는 것이 탐지되었다.  해당 블로그들의 공통점을 조사해 본 결과 특정 업체에서 제공하는 배너광고 스크립트를 사용하고 있었다.    검색 사이트를 이용해서 해당 배너광고 스크립트를 사용하는 블로그, 사이트의 현황을 검색해 본 결과 아래그림처럼 상당수의 블로그나 사이트에서 해당 배너광고 스크립트를 사용하고 있음을 확인 할 수 있었다.                                                          [그림 1] 검색 사이트 검색결과   결론은 특정 배너광고 업체가 해킹되었고 해당 업체에서 제공한 배너광고 스크립트를 사용하는 모든 블로그나 사이트는 악성코드 유포 사이트로 이용될 수 있는 위험에 놓여 있다. 이번 사례와 관련해서 안철수연구소에서는 이미 “배너광고 사이트를 통한 악성코드 유포사례“에 대해서 아래 주소에서 언급한 바 있다. * 관련 정보: 여러분의 배너광고는 안전한가요?: http://core.ahnlab.com/257 악성코드는 온라인 게임 사이트를 타고,,,: http://core.ahnlab.com/256 배너…

소셜기능을 통해 확산되고 SMS 과금시키는 Android 악성앱 주의

1. 개 요 안드로이드 온라인 동영상 스트리밍 플레이어로 위장하여 사용자 모르게 SMS 발송으로 과금을 일으키고, 친구 추천 기능을 통해 주변에 악성앱을 확산 시키는 안드로이드 악성코드가 새롭게 발견되어 관련 내용을 공유한다.        [fig] fake online video streaming player 2. 분 석 A. SMS 과금 및 휴대폰 정보 탈취 악성 앱이 설치되면 온라인상의 동영상들을 볼 수 있는 뷰어가 나오면서, 동시에 하드코딩된 중국의 premium number (106***82) 로 SMS 을 전송하여 별도의 과금을 시킨다. [fig] sendsms to premium number 만일 중국의 해당 premium number 로 문자가 정상적으로 송신되었을 시, 서비스제공자로 부터 서비스등록에 관련된 안내메시지를 문자로 회신(feedback)받게 되어 있어 서비스 사용여부를 알 수 있다. 이 악성앱은 영리하게도 회신되는 문자를 사용자가 볼 수 없게끔 필터링을 하여 실제 과금된 사실을을 전혀 알 수 없게 만든다. 이 악성앱은 “10” 으로 시작되는 번호들로 전송되는 SMS에…