안드로이드, iOS 등 모바일 운영체제(OS)에서 사용되는 구글 크롬, 애플 사파리 웹브라우저 주소창을 통해 특정 웹사이트에 접속하면 공격자가 설정한 다른 사이트로 방문할 수 있게 하는 버그가 발견돼 보안패치가 이뤄졌다.
19일(현지시간) 미국 지디넷에 따르면 보안전문가 라페이 발로크는 자신의 블로그에 발견한 이 버그가 구글 공식 사이트를 위장한 가짜 사이트로 접속을 유도해 사용자의 ID, 비밀번호를 빼가는 스푸핑 공격(spoofing)을 가능케 한다는 점을 개념증명(POC)했다.
이 버그는 4월 하순에 이미 패치가 이뤄졌다. 영향을 받는 것은 안드로이드4.4 킷캣, 안드로이드5.0 롤리팝이다.
관련기사
- 유튜브, 동영상 맘대로 지우는 버그 해결2015.05.20
- 세계보안대회서 2억원대 상금 탄 韓人 화제2015.05.20
- 어도비도 취약점 신고 포상제 실시2015.05.20
- 페북, 사진 맘대로 삭제하는 버그 해결2015.05.20
보안취약점분석 전문회사인 래피드7이 공개한 상세한 취약점 내용에 따르면 사용자들은 이동통신사나 스마트폰 제조사 등에 연락해 보안패치를 다운로드받아 적용해야 한다.
최근 이 버그는 애플 사파리에서도 유사하게 적용될 수 있다는 사실이 밝혀졌다. 지난 일요일, 해당 취약점을 사용해 공격이 실제로 이뤄질 수 있는지에 대한 POC 결과가 공개됐다. 이에 따르면 아이폰, 아이패드, 맥 등에서 사파리를 사용할 때 주소창에서 크롬을 사용할 때와 같은 종류의 스푸핑이 발생할 수 있는 것으로 확인됐다.
