2010/03/25

pwn2own 해킹 대회에서 iphone SMS DB 해킹

ThreatPost, 2010-03-24, Ryan Naraine
iphone hacked at Pwn2Own; SMS Database Stolen

Vancouver, BC
2명의 유럽 보안 연구자(Vincenzo lozzo, Ralf Philipp Weinmann)가 CanSecWest Pwn2Own 해킹 콘테스트에서 이미 삭제된 text 메시지까지 포함한 전체 SMS Database를 20초만에 가로채는 방법으로 최신 패치가 적용된 아이폰을 뚫어 스포트 라이트를 받았다.

... (중략)

Halvar Falke(유명한 보안 전문가로 이 exploit을 만드는 것을 도왔음)는
"이 Exploit은 iphone sandbox 밖에 있지 않습니다"라고 설명했다. 즉, 공격자가 sandbox를 회피하지 않고서도 충분히 damage를 줄 수 있다는 말이다.
"Apple은 꽤 훌륭한 보호 조치를 하고 있지만, 그것만으로 완벽하다고 볼 순 없습니다. 그들이 구현한 code-signing은 너무 관대합니다"라고 덧붙였다.

... (중략)


내용 전문

2010/03/19

SNS Connector

사실 내가 누군가에 대한 정보를 알려고만 하면,
요즘같이 트위터나 페이스북을 통한 public shouting을 옆에서 조금만 듣는다면,
2일 정도면 그 사람의 생활 패턴이나 사는 위치, 직업, 관심사, 친구들 등에 대한 정보를 얻을 수 있을 것이다.

뭐 그런 이유도 있고,
한 4-5년쯤 전이었나.. 해킹을 잘하는(or 검색을 잘 하는) 한 친구와 이야기를 하다가
그 친구가 10년전에 내가 사용했던, 이야기를 하던 그 당시에는 이미 폐쇄해서 없애버렸던
옛날옛날 내가 적은 홈페이지 글을 검색했다는 것을 알게 되었을때...
public하게 글을 남긴다는 것이 얼마나 오랜 기간동안 나를 옭아매는지 생각을 해 보게 되었다.

구글을 비롯한 온갖 검색엔진들은 public하게 인터넷 세상에 무언가를 하는 그 즉시
내가 그 글을 삭제한다 하더라도.. 계속 copy본을 가지고 있기 때문에,
내 개인정보는 인터넷만 할 줄 아는 사람이라면 누구나 시간을 들이면 정보 습득이 가능하다는 말.

여하튼 그런 이유로,,
나는 facebook이나 twitter를 모두 비공개(승인 요청을 한 사람만 볼 수 있어서 public으로 로그가 남지는 않음)로 사용하고 있다.

그런데,,,, (음.. 말을 꺼내기 전 서론이 너무 길었다 -_-;)
오늘 알게 된 http://flavors.me 라는 사이트가 있는데...
twitter, blog, facebook, LinkedIn, picasaweb, ... 등 개인적으로 관리하는 온갖 SNS들을 하나로 묶어주는
나름 nice한 서비스를 발견했다.
(단 방문자와의 interaction은 어렵고, 누군가가 나에 대해서 알고 싶다면 이 사이트에 가면 바로 알 수 있을듯)
근데, 여기는 설정이 없어서 여기 등록하는 순간 내 정보들은 이제 public한 인터넷 공간에 떠돌아 다니게 된다...
그래서, 사실 이 사이트를 계속 쓰면서 사람들에게 공개를 할지 아니면,
고민 끝에 오늘 저녁에 폐쇄를 하게 될지 잘 모르겠다.. (후자의 가능성이 큰 듯)



+. 오늘 네이트 커넥트 서비스도 들어가서 이용을 해 봤는데,
한국, 특별히 네이트온 사용자와 싸이월드 사용자에 특화되어 있는 듯한 느낌이다.
global한 소통의 도구로 사용될 가능성은 0%에 가깝지만(이런 한계가 나는 안타깝다),
한국 내에서 싸이월드와 네이트온 메신저를 통한 탄탄한 인맥을 유지하는 사람들에게 있어서는
나름 매력적인 SNS가 될지도 모르겠다는 생각은 든다.
(싸이나 네이트온 메신저를 1년에 1-2번 이용하는 나는 사용할 가능성이 3% 정도..;;)

트위터에 가입해서 0에서부터 시작하는 것(낯선 사람에게 follow 신청하는 것과 맞팔이 없을까 두려운..) 을 두려워하는 사람들이라면,
스마트폰을 이용하면서 기존 친구들과 대화를 원하는 사람들이라면
나름 이 네이트 커넥트를 이용하는 사람들도 많을지 모르겠다는 생각이다.

스마트폰 보안 사고

스마트폰 보안 사고 사례를 넣어야 하는 경우가 많은데, 저장해 놓은 reference가 없어서
일단 이 글에 검색해서 새로운 사고사례를 알게 되는 경우 계속 추가하기로 결정했다.

2009년 4월, 심비안 S60 3rd버전(노키아3250)의 "Sexy View" SMS 웜
악성어플리케이션 설치 유도 사이트를 넣어서 SMS 전송(text)

2009년 11월 영국에서 아이폰을 이용하여 인터넷 뱅킹에 접속하는 사용자를 대상으로 피싱 유도

2009년 11월, Austrailia의 lkee 웜.(i-phone worm)
jailbreaking한 아이폰에서 SSH 유틸리티를 키고, 디폴트 root 패스워드를 변경하지 않은 경우 걸리며,
단지 wallpaper를 1980년대 pop singer인 Rick Astley 사진으로로 바꿔 놓음.

2009년 11월
같은 취약점(jailbreaking한 아이폰에서 SSH 유틸을 키고, root 패스워드를 변경하지 않은 경우)
바이러스가 외부 리투아니아에 있는 마스터서버와의 통신 시도 등을 계속 하기 때문에
배터리 수명을 급격히 줄어들게 하는 것이 증상

2009년 연말, 2010년 1월 기사화. 구글 앱스토어에 droid09가 올린 악성코드 심긴 앱 등록.
first tech credit union에서 최초 발견하고 공개, 은행 어플리케이션인것처럼 속이고 사용자 비밀번호 탈취


2010년 3월 초, Vodafone HTC Magic(안드로이드 폰)에 Malware 발견
USB Worm과 같이 스마트폰을 PC에 싱크하면 autorun.inf 가 PC에도 생성되어 PC에도 malware가 설치됨.



..