인터넷 / 소프트웨어 : 윈도우즈, 리눅스, 기타 운영체제, 각종 어플리케이션, 프로그램, 소프트웨어, 인터넷, 인터넷 서비스에 대한 이야기, 소식, 테스트, 정보를 올리는 게시판입니다.

소식

2020.07.22 13:31

한국 코로나19 격리 앱에서 보안 결함이 발견되어 수정

이견 https://gigglehd.com/gg/7828862

페미니스트입니다만 문제라도?

조회 수 1082 댓글 14

Extra Form
참고/링크	https://www.nytimes.com/2020/07/21/techn...d=tw-share

5월 기술자 프레데릭 리히텐슈타인(Frédéric Rechtenstein)은 한국에 돌아와 자가 격리 기간을 가지던 중 자가격리자용 앱에 호기심이 생겼습니다. 리히텐슈타인은 앱에서 중요한 보안 결함을 확인했습니다.

결함은 추측이 쉬운 사용자 ID를 통해 격리자의 이름, 실시간 위치, 주소, 전화번호와 의료 증상을 포함한 개인정보에 접근할 수 있고 격리 사항 준수 여부를 조작할 수 있었습니다. HTTPS 대신 자체 암호화 키를 사용했고, 키는 1234567890123456이었습니다.

문제를 보고받은 한국 관계자들은 2주간의 격리 기간이 끝나면 개인 정보를 삭제하고 앱을 비활성화했다고 말했지만, 일주일이 지난 시점에서도 정부 서버 접근은 가능했습니다.

관계자들은 보고를 통해 보안 문제를 인지했고, 지난주 문제가 수정될 때까지 악용 보고가 없었다고 말했습니다.

행정안전부 재난정보통신과의 정찬현은 바이러스의 확산에 대응해 앱 배포가 시급했다며 이를 늦출 보안 점검을 할 여유가 없었다고 말했습니다. 감시 기능의 추가 요청에 따라 업무량이 증가했으며, 소프트웨어를 개발한 위니텍의 홍성복은 당시 소수의 한국인만이 앱을 사용할 것으로 생각했다고 말했습니다.

삭제 요청

TAG •

코로나19,

목록 스크랩

위로 아래로 댓글로 가기

Comments '14'

poin_:D збройовий завод 2020.07.22 13:41

Q1W2E3R4 안썻네요 보안감사로 탈탈 털려야 하겠군요
검사 BLACK COW IN YOUR AREA 2020.07.22 14:21

Woxhdrhk1!을 안쓰네요.
?
레인보우슬라임 $ dd if=/dev/zero of=/dev/null bb=500M count=1024 2020.07.22 15:47

그래도 SSL을 안 쓴건 용서가 안되는군요
야메떼 2020.07.22 17:17

하긴 저앱을 불나게 쓸줄은 어느 누구도생각하지 않았을껍니다.
신천지가 터지기 전까지만 해도 끝나겠구나란 희망을 가져봤거든요.
?
nsys 2020.07.22 18:02

우리나라 공공 소프트웨어 외주개발 다 저런식이죠
아래로 아래로 가다보면 명함만 대리고 경력 1주일인 담당 개발자가 https 가 http + tls 인지도 모르는걸 넘어 암호화라는거 자체를 몰라서 네이버 불로거지 코드 복붙하게 되고...
유우나 7460 2020.07.22 20:59

맞아요 병정놀이 정말 싫어요...
쮸쀼쮸쀼 2020.07.22 21:12

??? : 대충 홈페이지 게시물 관리와 HTML 수정 정도만 하면 된다면서요?! (실제로 본 사례를 각색)
까르르 프사 내 사진임. 진짜임. 이거 모델료 받아야 함. 2020.07.22 18:49

진짜 YS가 지금 대통령이라면 온갖 사건의 책임자들 쪼인트를 까는게 하루 주요 일과일 겁니다.
깻잎 2020.07.23 02:40

제가 괜히 한국 소프트웨어 품질은 북서쪽에서 996 하고 있는 미친 놈들하고 경쟁한다고 하는 게 아닙니다.

만사가 이딴 식이에요. 보안 감사 이전에 기본적인 마인드셋도 안 갖춰진 인간들이 한 트럭인 게 헬조선 소프트웨어 판이니 하...

여러분은 한국에 평문으로 비밀번호를 저장하는 꽤 큰 규모의 [검열됨]솔루션을 서비스하는 업체가 있다면 믿으시겠습니까?

뭐 저 미친놈들보단 병아리 눈꼽만큼 낫지만 여전히 미친 상태인 패스워드 암호화를 하라니까 클라이언트에서 SHA-256 (한바퀴, 소금 없이 저염식 해시로)해시해서 HTTP로 올려보내는 빌런들도 있고요

과연 한국 사이트중에 파라미터로 따옴표나 뉴라인이나 뭐 그런거 먹이면 몇 퍼센트나 터져나갈까요?

어느 IP캠 제품은 퍼블릭 공개 스트림을 IP캠 제조사 홈페이지에 표시하는데 쓰는 mJPEG 스트림 URL 에... 무려 해당 IP캠의 고객이 세팅한 어드민 ID와 어드민 PW 가 쿼리 스트링으로 들어 있는 환상적인 구현을 보여주더군요. (네 , 그 망한 ㅍㅊㅂ 얘기입니다)

이 이외에 다른 헬반도 소프트웨어 고어들도 좀 알고 있지만 대놓고 말하면 설렁탕을 먹을 만한 물건들이라 썰을 못 푸는게 아쉽군요
까르르 프사 내 사진임. 진짜임. 이거 모델료 받아야 함. 2020.07.23 12:46

내부고발자에게 설렁탕이 아니라 인생역전을 시켜주는 환경이 필요합니다.
깻잎 2020.07.23 13:52

내부자가 아니어도 알 수 있는 개판이라는 게 더 문제지만요.

하나 빼고 비관여자에 알고 싶지 않았는데 뻘짓하다가 알게 된 녀석들입니다..

낸들 URL 쿼리 스트링에 따옴표 넣으니까 화려하게 터질 거라곤 누가 알았겠습니까 ㄲㄲ
Semantics ε=ε=ε=(~￣▽￣)~ 2020.07.23 10:08

Only AES is used, with “123456789..” as key. This key is shipped in the APK, for anyone to find. And yes it is common to all users.
The initialization vector is constant ("abcdefghijklmnop”), where it should be a different, random, value for each run.
This also enables ciphertext replay attacks, but who needs that when the key is shipped in the APK.

... Some quite sensitive data here: Name, gender, birthday, nationality, address, passport numbers (sometimes), phone number, real-time GPS location, etc, ... Medical symptoms are also exchanged in a different message.

All that sent in cleartext essentially.

... The only two info sent look like serial numbers, it is worth to notice that they are integers, relatively short and close in value.

The first one "ISLPRSN_SN” supposedly identifies the individual using the app. Could you guess approximately how many persons were registered in the system before me? Yes, this value likely comes from an auto increment database field. In other terms, the first user had ISLPRSN_SN=1, the second ISLPRSN_SN=2, ...

The purpose of the second field, “TRMNL_SN”, is less clear, maybe it identifies the device. In any case, both values are very close together. In this example the relative difference is only 0.01%. This suggests that they are increasing at the same rate, except for rare cases. So one value can easily be inferred from the other.

An attacker can easily guess the auth credentials of every user, all she has to do is count.

비번이 1234... 인것도 모자라 APK에서 평문으로 확인할 수 있고, 데이터 값 관리하는것도 저모양 저꼴이군요.
?
skymont 2020.07.23 14:15

시간이 없다는 행정안전부 의견은 말도 안됩니다. 2월 쯤에 개발 의뢰 하였고, 지금까지 여러번 업데이트가 있었습니다.
그리고 해당업체 전무 되시는분 소수가 쓰는줄 알 았다는 말은 거짓말이라고 봅니다.
이건 행정안전부의 의뢰로 개발한 거에요.
소수가 쓴다는 말은 말이 안됩니다.
게다가 한국인은 암호화가 안된 앱은 써도 된다는 윤리에 문제가 있다고 봅니다.

결정적 증거는 7월 21일 뉴욕타임즈에 기사가 나오기전 1주일 전에 해당 앱이 업데이트가 된거보니
취재 했을 무렵에 해당 경함 수정 업데이트가 올라왔습니다.

애초에 HTTPS등 통신 암호화는 관심 없었고, 외국 엔지니어와 뉴욕타임스에서 문제 제기하니까 그제서야 수정하네요.
?
parkbang 2020.07.24 08:39

정말 개판이 따로 없네요! 대충 만들고 돈은 이빠이 끌어 땡기고!

작성된지 4주일이 지난 글에는 새 코멘트를 달 수 없습니다.

No Image

NVIDIA GPU, Gemma 최적화

NVIDIA가 구글의 대규모 언어 모델인 제미니의 공개 모델, Gemma에 최적화했다고 발표했습니다. 젬마 LLM를 NVIDIA GPU에서 최적화하는데 필요한 오픈소스 라이브러리인 텐서RT-LLM에서 지원해 젬마의 실행 속도를 높일 수 있습니다. 또 ...

Date2024.02.23 소식 By낄낄 Reply0 Views418

Read More
No Image

미국 특허청, GPT 상표 출원 불허

미국 특허청은 GPT가 특정 상품이나 서비스의 특징, 기능, 특성을 기술한 것에 불과하기에 상표 출원을 불허한다고 반려했습니다. 오픈AI는 GPT의 상표를 작년부터 내려고 시도했으나 10월에 반려당했고, 이번에 또 허가가 나지 않으면서 ...

Date2024.02.22 소식 By낄낄 Reply0 Views480

Read More
iMessage, 양자 컴퓨터 내성 시스템인 PQ3 도입

애플이 보안 블로그에서 iMessage가 이제 시그널보다 더 빡세졌다고 발표했습니다. 그러니까, 그림에서 보듯이 E2EE가 기본이었는데(렙1), 이제 각 기기에서 로컬로 생성하고 Apple 서버로 전송하는데 Kyber 양자컴퓨터 내성 공개키...

Date2024.02.22 소식 By책읽는달팽 Reply0 Views767

Read More
No Image

레딧, 사용자 컨텐츠를 AI 훈련에 6천만 달러에 판매

레딧은 AI 모델 훈련에 데이터를 쓸 수 있도록 허용하고 매년 6천만 달러를 받는 라이센스 계약을 맺었습니다. 레딧이 입장을 밝히지 않았기에 금액이나 조건은 달라질 수 있습니다. 그리고 어떤 AI 회사와 계약을 맺었는지도 모릅니다. ...

Date2024.02.22 소식 By낄낄 Reply10 Views1312

Read More
No Image

몬테네그로 법원, 권도형 미국 송환 결정

속보라 내용이 없습니다. 송환 전에 열심히 운동을 해서 몸이라도 만들어야겠군요.

Date2024.02.22 소식 By낄낄 Reply7 Views691

Read More
젠슨 황이 오픈AI에 DGX-1을 기증하던 사진

젠슨 황이 오픈AI에 DGX-1을 기증하던 사진을 일론 머스크가 올렸습니다. 이 사진은 2016년에 찍은 것이나 외부에 공개된 건 이번이 처음입니다. 일론 머스크는 2015년에 오픈AI를 공동 설립했으나 2018년에 충돌을 빚고 물러났습니다. DG...

Date2024.02.22 소식 By낄낄 Reply2 Views697

Read More
No Image

메테오레이크 성능/효율 향상 리눅스 패치

메테오레이크의 성능과 효율을 높이는 리눅스 패치가 나왔습니다. 내용은 간단합니다. 리눅스의 전원 관리 계획인 EPP(Energy Performance Preference)를 조절했습니다. 일반적으로 밸런스 퍼포먼스는 128, 퍼포먼스는 0으로 설정하는데 ...

Date2024.02.22 소식 By낄낄 Reply0 Views346

Read More
No Image

구글, 오픈 모델 Gemma 공개

구글이 Gemma라는 새 LLM을 공개했습니다. Gemini에 사용된 것과 같은 기술을 이용했다고 하네요. 왠지 동네북이 된 것 같은 Llama2-7B과의 벤치마크 비교입니다. 7B, 7B-Instruct, 2B, 2B-Instruct 모델이 공개되었고, 구글의 라이...

Date2024.02.22 소식 ByNeons Reply1 Views389

Read More
구글, 파일 포맷을 빠르고 정확하게 검출하는 툴인 Magika를 발표

구글이 딥러닝으로 학습해 파일 포맷을 빠르고 정확하게 검출하는 툴인 Magika를 발표했습니다. 오픈 소스 라이센스 아파치 2.0을 준수하며 깃허브에서 다운받을 수 있습니다. 평균 정밀도 99% 이상, CPU 1개로 실행해도 1초당 120종 이상...

Date2024.02.22 소식 By낄낄 Reply0 Views476

Read More
No Image

윈도우 작업 관리자, 라이젠 8040의 NPU 모니터링 기능 추가

앞으로 나올 윈도우 업데이트에서는 작업 관리자에 라이젠 8040의 NPU 모니터링 기능이 추가됩니다. 인텔 메테오레이크의 NPU 모니터링 기능은 진작 추가가 됐었는데 왜 AMD NPU는 추가가 안되나 했네요. 원문에서는 라이젠 8040만 이야기...

Date2024.02.21 소식 By낄낄 Reply1 Views472

Read More
어도비 어크로뱃, 대화형 AI의 문서/요약 기능 지원

어도비 어크로뱃에서 생성 AI인 AI Assistant의 베타 버전을 지원합니다. 어도비 스탠다드와 어크로뱃 프로 구독 요금제에 가입한 영문판에서 사용 가능합니다. AI를 사용해 문서를 요약하거나 목적에 맞는 문서를 만들 수 있으며, PDF 분...

Date2024.02.21 소식 By낄낄 Reply0 Views245

Read More
No Image

EU, 틱톡의 미성년자 보호 의무 위반 조사

EU는 틱톡이 미성년자를 보호하는 의무를 위반했을 가능성에 대해 조사하고 있습니다. 성인 인증, 중독성 있는 디자인과 화면 표시 시간 제한 등을 거론하고 있는데요. 이런 식으로 치면 유튜브니 쇼츠도 똑같이 때려야 하지 않나 싶네요.

Date2024.02.21 소식 By낄낄 Reply0 Views215

Read More
No Image

일본도 코로나 백신 접종 증명 앱의 서비스 중단

일본 디지털청은 신종 코로나 백신 접종 증명서 앱의 서비스를 3월 31일에 중단한다고 발표했습니다. 접종 증명서를 필요로 하는 곳이 없어져서 그렇다네요. 한국 뿐만 아니라 전 세계가 이런 서비스는 정리하는 분위기인가 봅니다.

Date2024.02.20 소식 By낄낄 Reply2 Views580

Read More
No Image

애플, 음악 스트리밍 사업 독점으로 유럽에서 5억 유로의 벌금 부과

애플이 유럽 연합에게서 5억 유로의 벌금을 부과받았습니다. 웹에서 구매하는 스포티파이 구독이 애플 뮤직과 경쟁하고 있는데, 앱 스토어를 통해 애플 기기에서 구매한 스파티파이 구독 서비스는 30% 수수료가 붙으면서 경쟁력이 떨어진...

Date2024.02.20 소식 By낄낄 Reply1 Views577

Read More
No Image

104초만에 윈도우 10을 설치

윈도우 10의 용량을 줄인 타이니10 빌드는 104초만에 설치가 끝납니다. 일반적인 윈도우 10은 20~30분이 걸린다고 하네요. 빠른 스토리지와 램을 사용하고 상당량의 최적화가 더해졌기에 가능한 속도입니다.

Date2024.02.19 소식 By낄낄 Reply5 Views2911

Read More