목차
- 오픈 소스 결함을 찾는 데는 수년이 걸리지 만 수정하는데 한 달이 걸림
- 2 억 5 천만 다운로드를 기록한 Android 앱은 여전히 패치 된 버그에 취약
- Microsoft는 웹 페이지에 광고를 삽입하기 위해 18 개의 악성 Edge 확장을 제거
- Spotify 2020 롤 아웃은 팝스타 해킹으로 인해 손상
1. 오픈 소스 결함을 찾는 데는 수년이 걸리지 만 수정하는데 한 달이 걸림
- 기업은 소프트웨어 보안을 유지하기 위해 자동화 및 종속성 추적을 수용해야 한다고 GitHub는 연례 보안 보고서에서 언급됨
- 오늘 발표 된 GitHub의 연간 Octoverse 보고서에 따르면 개발자 실수와 간접 의존성은 오픈 소스 소프트웨어 프로젝트에서 취약점의 두 가지 주요 원인이며,이 취약점은 함께 내년에 대부분의 보안 경고를 유발할 것으로 예상
GitHub는 자체 플랫폼에서 수집 한 데이터를 사용하여 대부분의 프로젝트에서 오픈 소스 소프트웨어를 사용
- Java 애플리케이션의 경우 65 %에서 JavaScript 애플리케이션의 경우 94 %까지 였음
- 평균적으로 취약점은 4 년 이상 동안 발견되지 않고 평균 취약점을 수정하는 데는 한 달 넘게 걸렸음
- 의존성 그래프 기능이 설정한 GitHub의 사용의 6 명 주요 오픈 소스 소프트웨어 생태계 중 하나가 자사의 서비스에 45,000 개 이상의 활성 저장소를 검색
- 오픈 소스 프로젝트에 대한 의존은 하나의 오픈 소스 라이브러리에서 의존하는 프로그램으로 취약성이 흘러 내리게되며, 활성 리포지토리의 평균 59 %가 내년에 GitHub의 Dependabot 서비스로부터 취약성 경고를받을 가능성이 높음
- GitHub에서 추적하는 언어의 평균 프로그램에는 10 개 미만의 종속성이 있지만 (예 : JavaScript 용 10 개, Java 용 8 개, Python 용 6 개) 이러한 패키지는 종종 다른 오픈 소스 라이브러리에 의존
- NPM을 사용하는 개발자뿐만 아니라 모든 개발자는 종속성을 최신 상태로 유지하고 필요하지 않은 종속성을 제거해야함
- 또한 개발자는 보안 테스트와 자동화 된 도구를 사용하여 코드의 취약점을 포착해야하며 프로젝트에 백도어를 삽입하려는 악의적 인 시도도 주의해야됨
- 취약점의 무작위 샘플 521 개를 조사한 결과, 17 %가 소프트웨어 프로젝트에 악의적으로 삽입 된 것으로 나타 났지만, GitHub 보고서에 따르면 해당 프로젝트가 거의 사용되지 않았기 때문에 악성 활동의 0.2 %에 불과
- 그러나 종종 공격자들은 오픈 소스 라이브러리에 코드를 삽입하는 데 성공 하고 다른 프로젝트가 해당 라이브러리에 의존하는 경우 광범위한 영향을 미칠 수 있음
- 그러나 지금까지 대부분의 보안 영향은 취약성을 초래 한 개발자의 실수로 인해 발생
- 보고 된 취약점의 26 %는 JavaScript와 NPM, Java 및 Maven 생태계는 24 %, Python 및 Python Package Index (PyPI)는 거의 20 %를 차지 했으며 NPM 생태계는 약 14 %로 가장 큰 비중을 차지
2. 2 억 5 천만 다운로드를 기록한 Android 앱은 여전히 패치 된 버그에 취약
- 2 억 5 천만 다운로드가 넘는 Android 앱은 2020 년 8 월에 패치 된 Google 라이브러리의 심각한 취약성에 여전히 취약
- 8 월에 모바일 앱 보안 회사 인 Oversecured 는 악성 애플리케이션이 합법적 인 앱에서 코드를 실행할 수 있도록 허용하는 Google Play 핵심 라이브러리의 취약점을 발견
- 이러한 악성 실행 파일은 합법적 인 앱의 보안 권한 하에서 실행되어 앱에 입력되거나 전송되는 데이터를 모니터링하고 훔침
- 이 취약한 라이브러리는 Google API를 통해 런타임에 앱의 구성 요소를 업데이트하는 데 사용
- 이 라이브러리는 Chrome, Edge, Facebook, Instagram, WhatsApp 및 Snapchat을 포함한 많은 인기 앱에서 사용
- CVE-2020-8913으로 추적 된이 취약점은 8.8 (높음) 등급으로 지정되었으며 Google Play Core Library 버전 1.7.2에서 수정
- Check Point Research는 "이 취약점이 공개 된 이후로 취약한 애플리케이션을 모니터링하기 시작
- 2020 년 9 월 동안 SandBlast Mobile에서 분석 한 Google Play 애플리케이션의 13 %가 이 라이브러리를 사용했으며 이러한 앱 중 8 %가 취약한 버전을 가졌다고 보고서에 명시되어 있음
- 연구원에 따르면 Google Play Core Library 취약점은 악용하기가 쉽지 않다고 함
CVE-2020-8913 공격 흐름
이 취약점을 악용하는 것이 얼마나 쉬운 지 설명하기 위해 Check Point는 아래에 표시된 것처럼 실제로이를 보여주는 비디오를 만듬
| 앱 이름 | 버전 |
|---|---|
| 알로하 | 2.23.0 |
| 사람! 스포츠 | 1.8.3.1 |
| XRecorder | 1.4.0.3 |
| 무빗 | 5.56.0.459 |
| 하말 | 2.2.2.1 |
| IndiaMART | 12.7.4 |
| 가장자리 | 45.09.4.5083 |
| Grindr | 6.32.0 |
| Yango Pro (택시 미터) | 9.56 |
| 파워 디렉터 | 7.5.0 |
| OkCupid | 47.0.0 |
| 팀 | 40.10.1.274 |
| 범블 | 5.195.1 |
- Google Play Core 라이브러리는 Google에서 자동 업데이트 할 수 없으므로 개발자는 새 버전을 수동으로 다운로드하고 앱을 업데이트 해야 함
3. Microsoft는 웹 페이지에 광고를 삽입하기 위해 18 개의 악성 Edge 확장을 제거
https://www.zdnet.com/article/microsoft-removes-18-malicious-edge-extensions-for-injecting-ads-into-web-pages/
- Microsoft는 확장 프로그램이 사용자의 웹 검색 결과 페이지에 광고를 삽입하는 것을 적발 한 후 Edge 추가 기능 포털 에서 18 개의 Edge 브라우저 확장 프로그램을 제거
- Microsoft가 Reddit을 통해 사용자로부터 여러 불만을 접수 한 후 11 월 20 일과 11 월 25 일 사이에 확장 기능을 제거
- 후속 조사에서 Microsoft의 새로운 Edge Add-ons 포털에 업로드 된 여러 악의적인 확장 프로그램이 발견됨
- Microsoft 커뮤니티 관리자가 공유 한 목록에 따르면 18 개의 확장은 두 가지 범주로 그룹화
- 첫 번째는 Edge 용 공식 버전이 없더라도 다양한 앱의 공식 버전으로 통과하려는 확장 프로그램.
- NordVPN
- Adguard VPN
- TunnelBear VPN
- Ublock Adblock Plus
- Greasemonkey
- Wayback Machine
두 번째 목록에는 인증 된 Chrome 확장 프로그램에서 복사하여 Edge로 포팅 한 다음 악성 코드가 삽입 된 확장 프로그램
- The Great Suspender
- Floating Player - Picture-in-Picture Mode
- Go Back With Backspace
- friGate CDN - smooth access to websites
- Full Page Screenshot
- One Click URL Shortener
- Guru Cleaner – cache and history cleaner
- Grammar and Spelling Checker
- Enable Right Click
- FNAF
- Night Shift Redux
- Old Layout for Facebook
- 마이크로 소프트는 지난달 "마이크로 소프트 엣지 애드온 스토어에서 직접 설치된 이러한 확장 기능을 사용하고 있다면 edge : // extensions 에서 제거하는 것이 좋다 "고 말함
- 조사 결과에 따르면 Edge는 사용자 기반이 적더라도 지난 10 년 동안 Chrome 및 Firefox 확장 프로그램 스토어에 악성 애드온을 넘겨 온 사이버 범죄 그룹의 관심을 불러 일으킴
- 브라우저의 사용량이 계속 증가함에 따라 맬웨어 작성자가 일반적으로 사용자가있는 곳으로 이동하기 때문에 이러한 유형의 사고가 더 흔해질 것으로 예상됨
4. Spotify 2020 롤 아웃은 팝스타 해킹으로 인해 손상됨
- 올해 가장 인기있는 노래의 인기있는 Spotify Wrapped 2020 재생 목록 출시 중에 스트리밍 서비스는 Lana Del Rey, Dua Lipa, Future, Pop을 포함한 일부 유명 스타의 페이지에 영향을 미치는 보안 위반 문제를 해결하고 있음
- Spotify는 3 억 2 천만 명의 사용자를 보유한 세계에서 가장 인기있는 음악 스트리밍 서비스
- BBC에 따르면 공격의 대상은 아티스트를위한 Spotify 라고하는 음악가와 레이블을위한 Spotify 사이트였
- 이 사이트는 암호로 보호되어 아티스트와 팀만 페이지를 변경할 수 있음
- 공격자는 이러한 보호를 우회 한 것 같다고 전함
- 이 사이트는 암호로 보호되어 아티스트와 팀만 페이지를 변경할 수 있음
- 페이지가 복원 된 것으로 보이지만 Spotify는 위반이 포함되었는지 확인하기위한 의견 요청에 응답하지 않음
- Mackey는 위반에 대한 Spotify의 정보가 부족하기 때문에 사용자는 앱에 대한 암호 및 보안 보호를 검토해야한다고 말함
'Trash > legacy' 카테고리의 다른 글
| 20/12/03 일일 보안 동향 (0) | 2020.12.03 |
|---|---|
| 20/12/02 일일 보안 동향 (0) | 2020.12.02 |
| 일일 보안 동향 알림 (0) | 2020.12.01 |
| 20/12/01 일일 보안 동향 (0) | 2020.12.01 |
| [Android] ListView 예제 소스 (0) | 2015.06.05 |
