The Hacker News 발췌
Lumos System Can Find Hidden Cameras and IoT Devices in Your Airbnb or Hotel Room (2022-05-25)
- 학자 그룹은 익숙하지 않은 물리적 공간에서 Wi-Fi 연결 숨겨진 IoT 장치를 식별하고 찾기 위해 전화 또는 랩톱에서 사용할 수 있는 시스템을 고안했습니다.
- 호텔 객실과 에어비앤비에서 개인을 엿보는 데 몰래 카메라가 점점 더 많이 사용됨에 따라 목표는 많은 번거로움 없이 그러한 불량 장치를 찾아낼 수 있도록 하는 것입니다.
- 카네기 멜론 대학의 라훌 아난드 샤르마(Rahul Anand Sharma), 엘라헤 솔타나가이(Elahe Soltanaghaei), 앤서니 로우(Anthony Rowe), 비아스 세카르(Vyas Sekar)는 새로운 논문에서 루모스(Lumos)라고 불리는 이 시스템은 이러한 의도를 염두에 두고 "증강 현실 인터페이스를 사용하여 그들의 존재를 시각화"하기 위해 설계되었다고 말했습니다.
- 뉴스보기
Nearly 100,000 NPM Users' Credentials Stolen in GitHub OAuth Breach (2022-05-27)
- 클라우드 기반 리포지토리 호스팅 서비스 깃허브(GitHub)는 지난 달 통합 OAuth 토큰 도난에 대한 추가 세부 정보를 공유했으며 공격자가 내부 NPM 데이터와 고객 정보에 액세스할 수 있었다고 언급했다.
- Greg Ose는 "공격자는 두 개의 타사 통합업체인 Heroku와 Travis CI에서 도난당한 OAuth 사용자 토큰을 사용하여 NPM 인프라에 대한 액세스를 확대할 수 있었습니다"라고 말했습니다.
- 뉴스보기
Attackers Can Use Electromagnetic Signals to Control Touchscreens Remotely (2022-05-27)
- 연구원들은 "정전식 터치스크린에 대한 최초의 능동 비접촉 공격"이라고 부르는 것을 시연했습니다.
- Zhejiang University와 Technical University of Darmstadt의 학자 그룹은 새로운 연구 논문에서 "GhostTouch는 전자파 간섭(EMI)을 사용하여 물리적으로 터치할 필요 없이 터치스크린에 가짜 터치 포인트를 삽입합니다"라고 말했습니다.
- 핵심 아이디어는 전자기 신호를 활용하여 원격 제어를 인수하고 기본 장치를 조작하는 것을 목표로 터치스크린의 대상 위치로 탭 및 스와이프와 같은 기본 터치 이벤트를 실행하는 것입니다.
- 뉴스보기
KISA보안공지
Cisco 제품 보안 업데이트 권고
Oracle E-Business Suite 보안 업데이트 권고
Mozilla 제품 보안 업데이트 권고
구글 Chrome 브라우저 보안 업데이트 권고
Zoom 제품 보안 업데이트 권고
Drupal 제품 보안 업데이트 권고
Citrix 제품 보안 업데이트 권고
기타 동향
빨리 하지 않는다면 모두 패치하나 일부만 패치하나 위험성은 거기서 거기 (2022-05-23)
- APT 공격자들도 취약점 공개 이후 움직이는 사례가 많기 때문에 방어 역시 그렇게 해도 됨.
- 즉각적으로 패치를 적용하는 게 아닌 이상 전체를 패치하든 일부만 패치하든 별 차이가 없음.
- 그렇다면 취약점 정보가 나온 이후 일부 취약점만 골라서 패치하는 게 경제적.
- 뉴스보기
QCT 서버 내 BMC에서 서버 완전 장악 가능케 하는 초고위험도 취약점 발견돼 (2022-05-27)
- 2019년부터 BMC라는 서버 내 요소에서 취약점이 발견되어 왔음.
- 이 취약점을 익스플로잇 하게 될 경우 공격자는 서버를 완전히 제어할 수 있게 됨.
- 이 취약점이 최근 콴타 측의 QCT 기술에서도 발견되었고, 9.8점의 위험도를 가진 것으로 분석됐음.
- 뉴스보기