TB의 SNS 이야기

구글에서 5월 '안드로이드 보안 공지(Android Security Bulletin)'를 고시했다. 이는 작년 안드로이드 커뮤니티를 발칵 뒤집어놓고 '안티-애플러' 의 주축이자 안드로이드 보안 전문가들로 하여금 'Good Bye Android'를 선언하게 만든 Stagegright 사태 이후, 구글이 매월 보안 업데이트와 각 제조업체들에게 보안 결함에 관한 공지를 할 것이라는 약속의 일환이다. 어? 매월 보안 업데이트 안 제공되는데요? 라고 묻는다면 그건 제조업체 문제지 구글 문제는 아니다. 특히 모델을 여러가지 '뿌려 놓는' OEMs는 모든 기기들에 관한 소프트웨어 사후지원이 물리적으로 불가다. 어? 기기 가격에는 소프트웨어 사후지원 비용이 포함되는 것인데, OEMs가 안 해주면 잘못 아닌가요? 라고 ..

최근 들어 PC 게임으로는 '명함도 못 내밀' 그런 저 퀄리티 게임들이 모바일 게임들로 컨버팅 되어 '모바일 액션 RPG 홍수' 라는 표현이 어울릴 정도로 많이 출시되어 있다. 만들다 만 게임, 대충 출시해서 반응 봐서 빠르게 철수 등 치고 빠지는 국내 모바일 게임사들의 전략에 유저들의 피해가 속출하는 중이다. 게임사나 쇼핑물들이 모바일에 전력을 다하는 이유는, 우리 생활에서 가장 많이 함께하고 늘 인터넷에 접속하여 돈을 쓰도록 만들게끔 할 수 있기 때문이다. 아직 모바일 기기에 대한 계정 해킹 피해 사례는 많지는 않으나 과거 PC RPG 게임에서는 계정 해킹 피해 사례가 잇달았고 이 와중에 등장했던 시스템이 OTP 인증이다. 구글에서는 모바일폰에 대한 이같은 인증 시스템을 제공하여 2단계 인증 코드를 ..

'진보넷(http://www.jinbo.net/)' 에서는 정치 이데올로기 이념을 떠나, 안드로이드 기기에 관한 기본적인 보안 설정에 관한 정보를 제공(https://guide.jinbo.net/digital-security/smartphone-security/android-security-setting) 중이다. 이전에도 한번 소개한 적이 있고, 모두 실제로 써보고 이중에서 추천 앱을 몇개만 정리해보자. 여기 소개된 것들 중 스토어에서 내려간 경우 F-Droid를 통해서 설치할 수 있다. 순정 안드로이드를 위한 안드로이드 앱 Orbot : 토르(Tor) 네트워크를 사용하여 인터넷 상 활동의 익명성을 증가시키도록 설계된 앱이다. 라이선스 : FOSS (BSD) / 요구사양 : 안드로이드 2.3 이상Orw..

우리는 애플의 PC들이 윈도우 PC들 보다 멜웨어로 부터 더 안전하다는 것을 알고 있다. 동의 하나? 리서처 Patrick Wardle는 지난 몇달간 애플이 Gatekeeper(https://support.apple.com/ko-kr/HT202491) 라는 현재 보안 불감증에 빠져 있는 것은 아닌가 확인해봤다. 사실, 지난 몇년간 애플의 최신 패치들은 그들의 소프트웨어 보안 시스템을 글자 그대로 5분만에 (업데이트를 통해서) 제공해왔다. Gatekeeper는 당신의 Mac에 설최되는 악성 앱들을 차단한다. 그러나, 그것은 보안 기능을 갖지 못하는 것으로 보여진다. 2015년은 'OS X 멜웨어의 해' 였다. 아마도 이는 매우 큰 이슈가 될 것에 비해 단지 일부일 수도 있고, Mac들은 올해(2016)에는..

삼성전자가 갤럭시S6에서 '무선 충전' 을 선보여 주목을 받았고 관심을 모은 무선충전이 내년 부터 본격 확대되고 심지어 아이폰7에 무선 충전 규격이 등장할 가능성이 높다며(?) 2016년 스마트폰 키워드가 무선충전이라는 이상한 소리에 관한 반박이다. 우선, 삼성전자는 지난 7월 27일 세계 최초 무선 충전 모니터까지 선보일 만큼 Qi 규격 무선 충전을 푸싱했다. 당시 설문조사와 넥서스5(Nexus 5)와 갤럭시S6의 Qi 무선 충전 규격을 실제로 써본 경험(삼성 딜라이트 체험)을 토대로 전자파가 인체에 미치는 영향 ← 이런 것 다 논외로 두고라도 실제 충전 효율이 매우 떨어지기에 Qi 무선 충전 규격은 소비자가 기기를 선택함에 있어서 killing 옵션이 될 수 없다는 글을 남긴적이 있었다. 소비자들은,..

IT/모바일에 관하여 잘 모르는 라이트-유저들의 PC, 모바일폰 사용 습관은 상상을 초월한다.(아닐수도 있다. 대충 써도 된다.) 최근들어 특히 보안, 개인정보 유출(은 별로 관심도 없다.), 직접적인 금융피해 사례가 이슈화 되는 중이기에 이스라엘의 Deep Instinct 라는 스타트업이 제시한 차세대 안티바이러스 소프트웨어 Deep learning에 관한 소식이다. Deep Instinct는 Deep learning 기술을 백신에 접목시켜, '백신 업데이트 없이 새로운 악성 코드를 스스로 자가 진단 차단'을 목표로 차세대 백신을 개발중이라 밝혔다. 악성 코드가 될 만한 요소들을 미리 수집한 데이터를 토대로 분석하고 차단하는 기술이며 기존 백신 보다 약 20% 더 높은 정확한 진단이 가능하다는 설명이다..

새로운 갤럭시S가 출시될 때 마다, 해킹을 의뢰했다. 모바일 게임과 TV보기 앱을 '불법(저작권 침해) 리패키징'하여 무료로 쓸 수 있다고 .apk를 배포하여 전국민을 낚았다. '벚꽃놀이' 검색어로 웹사이트에 접속하는 것 만으로도 감염이 된다. 국정원이 세금으로 구매한 이탈리아 해킹팀 갈릴레오의 RCS(Remote Control System)9 계열의 멜웨어 얘기다. TB SNS에서는 국정원 해킹팀 멜웨어가 왜 문제이고, 이와 관련된 소식들을 100% 다뤄왔다. 그리고 이번에는, 오픈넷에서 공개한 '오픈백신'이다. Hacking Team의 멜웨어는 PC버전으로 디텍트(DETEKT)가 노멀하게 알려져있지만, 검진 속도가 늦기에 이것 보다는 밀라노(Milano)가 빠르다. 현존하는 그 어떤 백신도, RCS ..

'보안, 개인정보, 금융정보, 프라이버시 침해'를 생각한다면 안드로이드 스마트폰을 쓰지 마라. 권한다. 이거 2010년 부터 했던 얘기고, 당시 리눅스가 어쩌고 유닉스가 저쩌고 '개' '헛' 소리로 '대 욕'을 들어먹었으나, 결국 이렇게 됐다. 안드로이드 보안 취약점은 그간 블로그를 통해 꾸준하게 소식을 전했고, Stagefright vulnerability 등 일부 보안 취약점은 그에 대한 대응책도 제시했으나, 지문인식 취약과 국정원이 뿌려놓은 이탈리아 해킹팀 갈릴레오의 멜웨어는 '공장도 초기화'를 해도 소용없다. 그냥 소중한 개인정보, 금융정보, 프라이버시는 새누리당 정권의 국정원과 함께 하면된다. Stagefright 코드 논란은 OS를 갈아 엎으면 된다. 구글에서는 넥서스 시리즈 전 기종에 이미 ..

아이폰도 'Stagefright 코드 보안 취약'과 유사한 iPhone kernel Denial of Service 중 iOS 8.4까지 해당되는 NULL Pointer Dereference 보안 취약점이 발견됐다고 한다. 기술적인 디테일은 '여기' 또는 '여기'서 확인하기로 하고, 쉽게 요점을 정리해보자면, . iOS 8 이상 64 비트에 해당.. (MMS, 브라우저 등으로)특정 파일 실행시 kernerl에서 crash가 발생 및 리부팅. NULL Pointer Dereference 보안 취약 하나로는 데이터 및 정보 유출에 관한 위험은 없고, . 공개되지 않은? 또 다른 취약점과 함께 쓰면 원격 코드 실행이 가능하다 전했다.. 탈옥 유무에 상관이 없다고 한다. NULL Pointer Dereferen..

안드로이드 버전에 관계 없이 모든 안드로이드 운영체제 존재하는 Stagefright 미디어 라이브러리에 취약점이 있다는 것이 확인 됐다. 이 취약점은 '매우 위험' 등급으로 분류됐다. MMS(Multimedia messaging service) 처리시 공격자가 보낸 웹 링크를 클릭해야만 했던 기존의 Spear-phishing(스피어피싱, 스미싱) 방식과 달리, 공격자(해커)가 전화번호(개인정보 탈취 또는 구매 후 랜덤으로 공격)만 알아도, 사용자가 링크를 클릭하는 등의 행동을 보이지 않아도 공격이 가능한 '매우 위험' 등급의 보안 취약점이다. 즉, 피공격자(사용자)가 기기에 대해서 아무 동작을 하지 않고 '손도 대지 않아도' 공격하여 감염 시킬 수 있다. 이 방법은 현재로써는, 'MMS 데이터 자동 수신..