인터넷 / 소프트웨어 : 윈도우즈, 리눅스, 기타 운영체제, 각종 어플리케이션, 프로그램, 소프트웨어, 인터넷, 인터넷 서비스에 대한 이야기, 소식, 테스트, 정보를 올리는 게시판입니다.

소식

2020.07.22 13:31

한국 코로나19 격리 앱에서 보안 결함이 발견되어 수정

이견 https://gigglehd.com/gg/7828862

페미니스트입니다만 문제라도?

조회 수 1082 댓글 14

Extra Form
참고/링크	https://www.nytimes.com/2020/07/21/techn...d=tw-share

5월 기술자 프레데릭 리히텐슈타인(Frédéric Rechtenstein)은 한국에 돌아와 자가 격리 기간을 가지던 중 자가격리자용 앱에 호기심이 생겼습니다. 리히텐슈타인은 앱에서 중요한 보안 결함을 확인했습니다.

결함은 추측이 쉬운 사용자 ID를 통해 격리자의 이름, 실시간 위치, 주소, 전화번호와 의료 증상을 포함한 개인정보에 접근할 수 있고 격리 사항 준수 여부를 조작할 수 있었습니다. HTTPS 대신 자체 암호화 키를 사용했고, 키는 1234567890123456이었습니다.

문제를 보고받은 한국 관계자들은 2주간의 격리 기간이 끝나면 개인 정보를 삭제하고 앱을 비활성화했다고 말했지만, 일주일이 지난 시점에서도 정부 서버 접근은 가능했습니다.

관계자들은 보고를 통해 보안 문제를 인지했고, 지난주 문제가 수정될 때까지 악용 보고가 없었다고 말했습니다.

행정안전부 재난정보통신과의 정찬현은 바이러스의 확산에 대응해 앱 배포가 시급했다며 이를 늦출 보안 점검을 할 여유가 없었다고 말했습니다. 감시 기능의 추가 요청에 따라 업무량이 증가했으며, 소프트웨어를 개발한 위니텍의 홍성복은 당시 소수의 한국인만이 앱을 사용할 것으로 생각했다고 말했습니다.

삭제 요청

TAG •

코로나19,

목록 스크랩

위로 아래로 댓글로 가기

Comments '14'

poin_:D збройовий завод 2020.07.22 13:41

Q1W2E3R4 안썻네요 보안감사로 탈탈 털려야 하겠군요
검사 BLACK COW IN YOUR AREA 2020.07.22 14:21

Woxhdrhk1!을 안쓰네요.
?
레인보우슬라임 $ dd if=/dev/zero of=/dev/null bb=500M count=1024 2020.07.22 15:47

그래도 SSL을 안 쓴건 용서가 안되는군요
야메떼 2020.07.22 17:17

하긴 저앱을 불나게 쓸줄은 어느 누구도생각하지 않았을껍니다.
신천지가 터지기 전까지만 해도 끝나겠구나란 희망을 가져봤거든요.
?
nsys 2020.07.22 18:02

우리나라 공공 소프트웨어 외주개발 다 저런식이죠
아래로 아래로 가다보면 명함만 대리고 경력 1주일인 담당 개발자가 https 가 http + tls 인지도 모르는걸 넘어 암호화라는거 자체를 몰라서 네이버 불로거지 코드 복붙하게 되고...
유우나 7460 2020.07.22 20:59

맞아요 병정놀이 정말 싫어요...
쮸쀼쮸쀼 2020.07.22 21:12

??? : 대충 홈페이지 게시물 관리와 HTML 수정 정도만 하면 된다면서요?! (실제로 본 사례를 각색)
까르르 프사 내 사진임. 진짜임. 이거 모델료 받아야 함. 2020.07.22 18:49

진짜 YS가 지금 대통령이라면 온갖 사건의 책임자들 쪼인트를 까는게 하루 주요 일과일 겁니다.
깻잎 2020.07.23 02:40

제가 괜히 한국 소프트웨어 품질은 북서쪽에서 996 하고 있는 미친 놈들하고 경쟁한다고 하는 게 아닙니다.

만사가 이딴 식이에요. 보안 감사 이전에 기본적인 마인드셋도 안 갖춰진 인간들이 한 트럭인 게 헬조선 소프트웨어 판이니 하...

여러분은 한국에 평문으로 비밀번호를 저장하는 꽤 큰 규모의 [검열됨]솔루션을 서비스하는 업체가 있다면 믿으시겠습니까?

뭐 저 미친놈들보단 병아리 눈꼽만큼 낫지만 여전히 미친 상태인 패스워드 암호화를 하라니까 클라이언트에서 SHA-256 (한바퀴, 소금 없이 저염식 해시로)해시해서 HTTP로 올려보내는 빌런들도 있고요

과연 한국 사이트중에 파라미터로 따옴표나 뉴라인이나 뭐 그런거 먹이면 몇 퍼센트나 터져나갈까요?

어느 IP캠 제품은 퍼블릭 공개 스트림을 IP캠 제조사 홈페이지에 표시하는데 쓰는 mJPEG 스트림 URL 에... 무려 해당 IP캠의 고객이 세팅한 어드민 ID와 어드민 PW 가 쿼리 스트링으로 들어 있는 환상적인 구현을 보여주더군요. (네 , 그 망한 ㅍㅊㅂ 얘기입니다)

이 이외에 다른 헬반도 소프트웨어 고어들도 좀 알고 있지만 대놓고 말하면 설렁탕을 먹을 만한 물건들이라 썰을 못 푸는게 아쉽군요
까르르 프사 내 사진임. 진짜임. 이거 모델료 받아야 함. 2020.07.23 12:46

내부고발자에게 설렁탕이 아니라 인생역전을 시켜주는 환경이 필요합니다.
깻잎 2020.07.23 13:52

내부자가 아니어도 알 수 있는 개판이라는 게 더 문제지만요.

하나 빼고 비관여자에 알고 싶지 않았는데 뻘짓하다가 알게 된 녀석들입니다..

낸들 URL 쿼리 스트링에 따옴표 넣으니까 화려하게 터질 거라곤 누가 알았겠습니까 ㄲㄲ
Semantics ε=ε=ε=(~￣▽￣)~ 2020.07.23 10:08

Only AES is used, with “123456789..” as key. This key is shipped in the APK, for anyone to find. And yes it is common to all users.
The initialization vector is constant ("abcdefghijklmnop”), where it should be a different, random, value for each run.
This also enables ciphertext replay attacks, but who needs that when the key is shipped in the APK.

... Some quite sensitive data here: Name, gender, birthday, nationality, address, passport numbers (sometimes), phone number, real-time GPS location, etc, ... Medical symptoms are also exchanged in a different message.

All that sent in cleartext essentially.

... The only two info sent look like serial numbers, it is worth to notice that they are integers, relatively short and close in value.

The first one "ISLPRSN_SN” supposedly identifies the individual using the app. Could you guess approximately how many persons were registered in the system before me? Yes, this value likely comes from an auto increment database field. In other terms, the first user had ISLPRSN_SN=1, the second ISLPRSN_SN=2, ...

The purpose of the second field, “TRMNL_SN”, is less clear, maybe it identifies the device. In any case, both values are very close together. In this example the relative difference is only 0.01%. This suggests that they are increasing at the same rate, except for rare cases. So one value can easily be inferred from the other.

An attacker can easily guess the auth credentials of every user, all she has to do is count.

비번이 1234... 인것도 모자라 APK에서 평문으로 확인할 수 있고, 데이터 값 관리하는것도 저모양 저꼴이군요.
?
skymont 2020.07.23 14:15

시간이 없다는 행정안전부 의견은 말도 안됩니다. 2월 쯤에 개발 의뢰 하였고, 지금까지 여러번 업데이트가 있었습니다.
그리고 해당업체 전무 되시는분 소수가 쓰는줄 알 았다는 말은 거짓말이라고 봅니다.
이건 행정안전부의 의뢰로 개발한 거에요.
소수가 쓴다는 말은 말이 안됩니다.
게다가 한국인은 암호화가 안된 앱은 써도 된다는 윤리에 문제가 있다고 봅니다.

결정적 증거는 7월 21일 뉴욕타임즈에 기사가 나오기전 1주일 전에 해당 앱이 업데이트가 된거보니
취재 했을 무렵에 해당 경함 수정 업데이트가 올라왔습니다.

애초에 HTTPS등 통신 암호화는 관심 없었고, 외국 엔지니어와 뉴욕타임스에서 문제 제기하니까 그제서야 수정하네요.
?
parkbang 2020.07.24 08:39

정말 개판이 따로 없네요! 대충 만들고 돈은 이빠이 끌어 땡기고!

작성된지 4주일이 지난 글에는 새 코멘트를 달 수 없습니다.

No Image

AMD, 더 많은 라데온 소프트웨어를 오픈소스로 제공하겠다고 약속

AMD가 더 많은 라데온 소프트웨어를 오픈소스로 제공하고, 하드웨어 문서도 더 많이 제공하겠다고 약속했습니다. 구체적인 일정이나 공개 범위는 밝히지 않았으나, 내부적으로 계획이 있으니까 이렇게 글을 올렸을 것 같네요.

Date2024.04.04 소식 By낄낄 Reply11 Views1064

Read More
No Image

아마존의 저스트 워크 아웃 계산대, 운영 중단

아마존의 슈퍼마켓인 아마존 프레시는 물건을 들고 그냥 걸어 나가면 계산이 끝나는 '저스트 워크 아웃'이라는 기능을 폐지하고 있습니다. 이 기능은 카메라와 센서를 사용해 제품의 QR 코드를 스캔해, 따로 결제하지 않아도 자동...

Date2024.04.04 소식 By낄낄 Reply12 Views2141

Read More
No Image

쿠팡, '천원마켓'까지…알리·테무와 전면전

쿠팡은 최근 1000원~3000원대 저가형 상품을 모아 '천원마켓' 기획전을 열었다. 로켓배송 가능 상품을 중심으로 물티슈, 세제 등 생활필수품부터 충전기·주방용품 등 생활 잡화까지 판매한다. 알리익스프레스가 운영하는 &...

Date2024.04.03 소식 By낄낄 Reply7 Views923

Read More
No Image

구글, 크롬의 시크릿 브라우징 수집 데이터를 삭제

구글은 크롬 브라우저의 시크릿 모드를 사용한 고객에게서 수집한 데이터를 삭제해, 2020년에 시작된 집단 소송을 해결했습니다. 크롬의 시크릿 모드는 매우 안전하고 비밀을 지켜주는 것 같지만, 실제로는 데이터를 수집해 웹사이트 사용...

Date2024.04.03 소식 By낄낄 Reply7 Views1071

Read More
No Image

MS, 오피스에서 Teams를 분리

마이크로소프트가 오피스에서 Teams를 분리합니다. EU의 반독점 벌금을 피하기 위해서 유럽 시장에서 먼저 분리했었는데요. 이제는 전 세계를 대상으로 분리 작업을 합니다. 그래서 마이크로소프트 365나 오피스 365에 tEams가 포함되지 ...

Date2024.04.03 소식 By낄낄 Reply4 Views883

Read More
No Image

챗GPT, 계정 없이 사용 가능

오픈AI가 챗GPT를 회원 가입이나 로그인을 하지 않고도 쓸 수 있게 바꿨습니다. 로그인을 하면 채팅 이력, 채팅 공유 등의 추가 기능을 쓸 수는 있지만, 기본적인 채팅에는 아무 제한이 없습니다.

Date2024.04.03 소식 By낄낄 Reply1 Views524

Read More
No Image

미국 “한국 ‘망 사용료 법안’ 반경쟁적…과일 검역도 풀어야”

미국 무역대표부가 정보통신망 이용요금, 이른바 망 사용료를 콘텐츠 사업자에게 부과하는 법안이 경쟁 원칙에 어긋난다며 재차 문제를 제기했습니다. 미국 무역대표부가 발표한 올해 국가별 무역장벽 보고서는 2021년부터 외국 콘텐츠 제...

Date2024.04.03 소식 By낄낄 Reply7 Views736

Read More
3D마크 스틸 노매드, 4월로 연기

3D마크 스틸 노매드와 스틸 노매드 라이트의 출시가 2분기 초로 연기됐습니다. 4월 중에는 나올 거라고 합니다. 레이 트레이싱을 쓰지 않는 최신 그래픽 테스트이자, 크로스 플랫폼 벤치마크라는 특징이 있습니다.

Date2024.04.02 소식 By낄낄 Reply2 Views334

Read More
No Image

성공신화 쓴 창업주, 매각 이유는 이커머스?

피자나라치킨공주 운영사인 '리치빔'이 매물로 등장하면서 요식업 성공신화를 써 온 창업자 남양우 대표의 지분매각 배경에 시장 이목이 쏠리고 있다. 업계 전문가들은 남 대표가 리치빔 매각 이후에도 신규 사업을 진행할 가능성...

Date2024.04.02 소식 By낄낄 Reply3 Views663

Read More
No Image

유튜브, 유명인 사칭 시 계정 정지

스타강사 김미경 씨와 유명 투자자인 존 리 전 메리츠 자산운용 대표 등이 참석한 기자회견 온라인에서 유명인 사칭 광고 사기가 기승을 부리자, 정부와 플랫폼 기업들이 적극 나서줄 것을 호소하는 자리였습니다. (중략) 이날 성명에는 ...

Date2024.04.02 소식 By낄낄 Reply12 Views542

Read More
No Image

1일부터 MVNO 회선 신규 개통 시 신분증 스캐너 사용 의무화

[소식] 휴대폰 집단상가 가보니…"오늘부터 알뜰폰 개통 안돼요" [현장에서] 아이뉴스24 보도입니다. 2024년 4월 1일부터 MVNO 회선 신규 개통 시 신분증 스캐너를 의무적으로 사용하도록 규정이 바뀌었습니다. 참고/링크에 올려 둔 기사는...

Date2024.04.02 소식 By임시닉네임 Reply12 Views670

Read More
2024 어도비 서밋, 스닉에서 발표한 기능

어도비 서밋 2024에서 어도비 클라우드를 위한 새로운 기능이 발표됐습니다. 어도비 익스피리언스 플랫폼 AI 어시스턴트입니다. 고객 체험 관리를 위한 어도비 익스피리언스 클라우드에 추가되는 기능으로, 자연어를 지원하는 AI 어시스턴...

Date2024.04.01 소식 By낄낄 Reply1 Views394

Read More
No Image

오픈AI와 MS, 1000억 달러의 데이터센터 프로젝트를 계획 중

오픈AI와 마이크로소프트가 1000억 달러를 투자해 수백만개의 GPU를 갖춘 데이터센터를 건설하는 프로젝트, 이름하여 스타게이트를 추진 중입니다. 현재 운영하는 가장 큰 데이터센터보다 100배 정도 더 비쌀 것이라고 하며, 2028년까지 ...

Date2024.04.01 소식 By낄낄 Reply3 Views473

Read More
MS의 Copilot 정책 - 인터넷 연결없이도 가능하게

일단, 3월 21일날 MS가 첫 'AI PC'를 내놓았습니다. 이 AI PC의 정의에 대해서 인텔은 'NPU와 VNNI 및 Dp4a 명령를 처리할수 있는 최신 GPU'를 장착한 컴퓨터란 답변을 했습니다. https://www.theregister.com/2024/03/12/what_is_an_ai_p...

Date2024.04.01 소식 By책읽는달팽 Reply3 Views939

Read More
NetBSD 10 공식 릴리즈

NetBSD 10이 공식 릴리즈 되었습니다. 2019년에 9가 나온 이후로 5년만입니다. 성능과 기능, 하드웨어 지원 모두 9.x에 비하여 크게 개선되었습니다. 자세한 내용은 원문에서 확인하시기 바랍니다.

Date2024.03.31 소식 By헥사곤윈 Reply0 Views539

Read More
디시인사이드, 고정닉 신청 정책 변경

[소식] 관련 글 - "디씨인사이드,개인정보 폐기" https://gigglehd.com/gg/bbs/11424832 가입 시 식별 코드(ID)를 선택할 수 없게끔 바뀌었습니다. 계정 복구 시 사용할 수 있는 방법은 보안 코드뿐입니다. 이메일 인증 등 타 수단을 ...

Date2024.03.31 소식 By임시닉네임 Reply6 Views1219

Read More
SKT, 3만 원대 요금제와 2만 원대 온라인 전용 등 5G 요금제 개편

[보도자료] 관련 글 - "[보도자료] SKT, 5G 요금제 선택권 넓히고 고객 통신비 부담 낮춘다" https://gigglehd.com/gg/soft/13954671 * 흔히 "5G"로 불리는 통신 방식인 IMT-2020, New Radio를 이 글에서는 "NR"로 서술하였습니다. 제목...

Date2024.03.30 소식 By임시닉네임 Reply19 Views1051

Read More
'레나', IEEE 학술지에서 금지

IEEE 컴퓨터 학회에서 4월 1일부터 1972년 플레이보이에 오른 사진, 통칭 '레나'가 들어간 논문들을 금지합니다. 그러니까 넣으면 자동 리젝이란 소리죠... 레나 쇠데르베리(미쿡에서 잠시 이 사진을 찍고 스웨덴에서 조용히 살다 학회...

Date2024.03.30 소식 By책읽는달팽 Reply12 Views2176

Read More
No Image

MS 코파일럿, 40TOPS의 NPU가 있는 시스템에서 로컬 실행 가능

MS 코파일럿은 최소 40TOPS의 성능을 내는 NPU가 장착된 시스템에서 로컬 실행이 가능합니다. 혖재 코파일럿은 사용자가 쿼리나 프롬프트를 입력했을 때 클라우드 AI로 보내지만, 나중에는 로컬에 탑재된 NPU를 써서 실행할 수 있게 됩니...

Date2024.03.30 소식 By낄낄 Reply1 Views679

Read More
No Image

압축 라이브러리 xz/liblzma에 백도어가 들어있음

해커뉴스: https://news.ycombinator.com/item?id=39865810 오픈소스 압축 라이브러리에 주요 메인테이너가 직접 백도어를 심어서 대부분의 배포판에 퍼졌고, 압축 라이브러리다보니 로그 압축이 필요한 systemd에 링크될 수 있는데... ...

Date2024.03.30 소식 ByNeons Reply5 Views2058

Read More