태그 보관물: 보안

크롬을 열면 저장된 모든 비밀번호를 그냥 볼 수 있다

구글 크롬(Chrome) 브라우저의 어이없는 비밀번호 보안 정책이 구설수에 오르고 있습니다.

크롬 브라우저 설정 패널(chrome://settings/passwords)에 들어가서 저장된 비밀번호를 확인해보면 아무런 보안 장치도 없이 저장된 암호를 그냥 볼 수 있는 것입니다.

Passwords

 

저기서 Show 버튼을 누르면

Saved-Passwords

 

바로 평문으로 보이게 됩니다.

 

이 논란에 대해 크롬의 보안(Security)을 담당하는 Justin Schuh는 정책을 바꾸지 않을 것이라고 말했습니다.

위 링크에서도 반박하고 있듯, 사실 컴퓨터를 직접 사용할 수 있는 상황에서 주인의 비밀번호를 알아내는 방법이야 많습니다. 어느 특정 사이트를 들어가서 자동 입력된 암호에서 별표를 없애는 프로그램도 존재하고 저장된 암호란 평문으로 되돌릴 수 있게 끔 저장이 되어있는 것이니까요.

하지만 그게 세계에서 가장 많이 쓰이고 있는 브라우저인 크롬의 설정에 들어가서 그냥 볼 수 있도록 둬야 하는 이유가 되는지는 잘 모르겠습니다. 원래 해킹이란 가장 보안이 취약한 부분을 공략하는 것이 정석이고 그것이 뚫리게 되면 아무리 강력한 보안체계도 무용지물이 되는 거지요. 현재 가장 많이 쓰이는 브라우저인 크롬에서의 이런 허술함이 널리 알려져버린 상황에서 원래 남의 암호를 알아내려는 생각이 없었던 사람이더라도 클릭 몇번으로 볼 수 있으니 호기심에 혹할지도 모르는 일이고요. 깨진 유리창 이론을 생각해볼 때 결코 좋지 않은 결정으로 보여집니다.

앞으로는 절대로 컴퓨터를 남에게 빌려주지 않고 자리를 비우면 바로 암호로 잠기게 끔 하거나 그냥 크롬을 쓰지 않는게 좋을 것 같네요. 저는 원래 개인정보에 둔감한 빅브라더 구글이 불안해서 맥에서는 사파리를 쓰고 윈도우에서는 파이어폭스를 쓰고 있었지만 앞으로도 크롬은 쓰지 않을 것 같네요. 이 논란에 대한 크롬의 대응이 너무 어이없는 것 같아서요.

 

Chrome’s Password Security Strategy Is Insane

 

FacebookTwitterGoogle+

구글이 안드로이드 보안이슈를 서버쪽에서 수정할것이라 밝힘

그저께 발견 되었던 ClientLogin 프로토콜로 인한 안드로이드의 보안이슈에 대해 구글에서 서버쪽에서 문제를 수정하기로 했다고 합니다. 확실히 수없이 많을 안드로이드 폰을 수정하는 것보단 이것이 현명한 방법이군요. 수정은 어제 이루어졌다고 하며 모든 사용자에게 적용될려면 몇일 걸릴 것이라고 합니다. (사용자가 해야할 일은 없습니다.)
그런데 캘린더와 연락처에서는 문제가 수정되는데 Picasa 동기화에 대해서는 여전히 문제가 된다고 합니다. 이전에 안드로이드 2.3.4 폰에서 수정된 내용도 Picasa에는 문제가 남아있었지요.

어쨌든 현실적으로 모든 안드로이드폰들의 OS 업데이트란 불가능에 가까우니 서버쪽에서 문제가 해결이 되어서 다행입니다.

Google confirms Android security issue, server-side fix rolling out today – Engadget

FacebookTwitterGoogle+

안드로이드장치의 99%가 계정 해킹가능

The Register에 올라온 글로 독일의 Ulm 대학의 연구에 의하면 안드로이드 장치의 99%가 공격자에 의해 쉽게 계정 해킹이 가능하다고 합니다.

안드로이드는 ClientLogin이라는 인증 프로토콜을 제공하는데 트위터, 페이스북, 구글 캘린더와 연락처 등이 이 프로토콜을 이용하고 있습니다.
이 프로토콜을 이용해 로그인을 했을 때 얻어진 인증 토큰은 암호화되지 않은 평문(cleartext)이라고 하며 해당 토큰을 얻은 후에는 14일동안 해당 서비스를 이용할 수 있다고 합니다.
따라서 이 토큰을 공격자들이 얻게 되면 사용자의 계정에 접속할 수 있게 되는 것이지요. (좀 더 설명을 드리자면 처음에 아이디와 비밀번호를 입력해 서비스에 접속을 하면 인증 토큰을 받고 그 이후부터는 인증 토큰으로 서비스를 이용하게 되는 것입니다.)

연구자들은 이런 공격으로 구글 서비스를 해킹하는게 가능한지 알기위해 연구를 시작하였고 이것이 가능하며 매우 간단했다고 밝혔습니다.
실험자들은 먼저 T-Mobile, attwifi, starbucks와 같은 일반적인 SSID로 와이파이 액세스 포인트를 만들었고
(우리나라로 치면 Nespot, ollehWiFi, T wifi zone 등으로 생각하면 됩니다)
안드로이드 폰들은 이미 알고있는 네트워크에 대해서는 자동 접속을 하고 동기화를 시작하게 됩니다.
이때 공격자는 동기화를 시도하는 각 서비스에 대해 인증 토큰을 수집하면 끝입니다.

ClientLogin을 사용하는 앱들은 당장 암호화된 https 경로를 이용해야한다고 연구자들은 밝혔습니다. 또 가장 안정된 인증 프로토콜로 알려진 oAuth도 이 공격을 막을 수 있지만 동기화 데이터 또한 수집되는 것을 막을려면 https가 사용되어야 합니다.

또 구글이 인증토큰이 유효한 기간(현재는 14일)을 줄이고 http 접속을 통한 인증 요청은 거부해야한다고 제안했습니다.

안드로이드 2.3.4부터 인증토큰이 암호화되어 전송되는데 이 버전을 지원하는 단말이 1%밖에 없어 99%는 위험성에 노출되어 있습니다. 또 수정된 이 버전(2.3.4)에서도 Picasa 웹 앨범 동기화에서는 민감한 데이터들이 암호화되지않고 전송이되는 문제가 있다고 합니다. 구글도 이 문제를 알고 있고 수정중이라고 합니다.

생각해보면 지금 당장이라도 Nespot이나 T Wifi Zone, iptime 등으로 AP만들고 자동접속하는 단말들의 계정정보를 얻는게 가능한데 심각한 문제로 보입니다.

현재로썬 이 문제를 방지하려면 와이파이에 자동으로 접속하지 않도록 하고 공개된 비보안 와이파이를 사용하지 않는게 최선으로 보입니다. 안드로이드는 많은 단말들이 OS 업데이트의 혜택을 받지 못하는 문제가 있는데 새 버전에서의 기능추가뿐만 아니라 보안에서의 취약점을 해결하지 못하는 것은 지속적으로 문제가 될 것 같습니다. 현재 업데이트 지원이 끝나버린 스마트폰들이 수두록한데 이 폰들은 계속 위험을 가지고 사용을 해야한다는 거죠. 구글이 따로 설치가능한 패치를 제공해야하지 않을까 싶네요.

[참조]
99% of Android phones leak secret account credentials – The Register
Android’s Personal Data Leakage Problem – Gizmodo
99 Percent Of Android Devices Are Vulnerable To Password Theft – TechCrunch

FacebookTwitterGoogle+