페이스북이라면 아마도 사용자가 자신의 페이지를 꾸미는 SNS와는 달리 페이스북은 전부 프로필 형태가 같고 이래서 개성을 표현할 수가 없다는 평도 있겠지만 그래도 편리하고 깔끔해서 사용하고 사진 관리와 노트 등의 부가기능이 좋아서 그래서 세계적으로 인기가 있는 SNS가 아닐까 생각이 됩니다. 그리고 한편으로는 다른 SNS처럼 사생활 침해 문제, 개인정보 유출 문제, 보안 문제, 사칭 계정, 감정조작 등의 문제가 발생하고 있습니다.
최근 Ysrael Gult에서 일하는 보안 연구원 Bugsec과 Cynet낸 보고에 따르며 공격자가 cross-origin bypass-attack를 이용하며 비공개 메세지,페이북 채팅에 전송하는 사진뿐만 아니라 첨부파일에 접근할 수가 있다고 합니다. 즉 해당 취약점을 악용하면 공격자가 피해자를 속여 악의적으로 제작된 웹사이트로 방문하게 할 수가 있다는 것입니다. 즉 JavaScript와 서버 간의 통신은 XHR을 통해서 이루어지면 Javascript 5-edge-chat.facebook.com에 도착한 데이터에 접근하면 Facebook에서 Access-Control-Allow-Credentials 헤더를 사용하여 쿠키가 전송되더라도 데이터에 액세스를 할 수 있습니다
이렇게 되는 원인이 페이스북 채팅 서버 도메인에서 Cross-origin 헤더 구현이 잘못 구성이 돼 있어서 공격자가 외부 사이트에서 출발지 확인을 거부하고 Facebook 메시지에 접근할 수가 있다고 합니다. 그러나 비밀 대화는 페이스 북 메신저의 end-to-end 암호화 채팅은 해당 버그의 영향을 받지 않는다고 합니다. 일단 해당 버그는 해당 연구원이 Bug Bounty 프로그램을 통해 Facebook에 해당 취약점을 공개했으며 해당 Facebook 보안팀은 현재 해당 문제를 확인하고 해당 취약점에 대한 패치를 했다고 합니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 브라우저 하이재킹 애드웨어 Trotux.com 제거 방법 (0) | 2017.01.03 |
|---|---|
| 파이어폭스 53 버전 부터 Windows XP,Windows Vista에 대한 기술 종료 (6) | 2016.12.30 |
| 넷기어 공유기 보안 펌웨어 업데이트 (6) | 2016.12.23 |
| 카스퍼스키 랜섬웨어 CryptXXX 3.0에 대한 복호화 Kaspersky RannohDecryptor 1.9.5.0 도구 업데이트 (2) | 2016.12.21 |
| 어도비 플래시 플레이어 24.0.0.186(Adobe Flash Player 24.0.0.186) 보안 업데이트 (0) | 2016.12.15 |
| 일부 저가 안드로이드 스마트폰에서 백도어 펌웨어 발견 (0) | 2016.12.14 |
| Firefox 50.1(파이어폭스 50.1)보안 업데이트 (2) | 2016.12.14 |
| Cumulative Update for KB3206632 Windows 10 14393.576(Windows 10 14393.576 정기 보안 업데이트) (0) | 2016.12.14 |
