Skip to content

기글하드웨어기글하드웨어

인터넷 / 소프트웨어 : 윈도우즈, 리눅스, 기타 운영체제, 각종 어플리케이션, 프로그램, 소프트웨어, 인터넷, 인터넷 서비스에 대한 이야기, 소식, 테스트, 정보를 올리는 게시판입니다.

Extra Form
참고/링크 https://www.zdnet.com/article/google-cou...years-ago/

이제 OTP와 같은 2단계 인증은 웬만한 웹 서비스에서는 기본이 되었습니다. 구글은 지난 2010년부터 OTP 앱을 제공하고 있었고, 이 앱은 가장 널리 쓰이는 스마트폰 OTP 앱이라고 해도 과언이 아닙니다. 그런데 이 앱에서 어이없는 취약점이 발견되었습니다.
 

네덜란드의 보안업체 ThreatFabric이 발견한 바에 따르면, 은행 잔고를 빼내는 Cerberus라는 트로이목마 악성코드의 변종에서 구글 OTP 앱의 코드를 훔치는 기능이 발견되었습니다. 이 기능은 어이없을 정도로 간단한 원리로 작동하는데, 바로 OTP 앱에 코드가 나타나면 그것을 캡쳐하여 원격 서버로 전송하는 방식입니다. 이는 구글 OTP 앱에 캡쳐 방지 기능이 설정되어 있지 않기 때문에 가능합니다.
 

안드로이드 앱의 설정 중에는 FLAG_SECURE라는 플래그가 있는데, 이 플래그를 켜면 안드로이드 OS가 다른 앱이 스크린샷을 찍는 것을 자동으로 막아줍니다. 그런데 정작 안드로이드 OS를 개발하는 구글의 OTP 앱에 이 기능이 설정되어 있지 않은 것이지요. 이 문제점은 이미 2014년 10월경 Github에서도 지적되었으나 5년 이상 지난 지금까지도 아직 해결되지 않았습니다. 보안업체 측에 따르면 악성코드에서 이런 식으로 실제 피해를 발생시킨 흔적은 지난 2월 말까지는 발견되지 않았다고 하지만, 이는 문제의 변종 악성코드 개발이 완전히 다 끝나지 않아서인 것으로 보입니다. 따라서 빠른 해결이 시급합니다.
 

p.s.
참고로 저는 예전부터 Google OTP 앱 대신 Authy라는 다른 앱을 쓰고 있습니다. 이 앱은 해당 문제점이 없습니다. QR코드를 찍는 방식의 OTP 앱은 회사가 달라도 호환되기 때문에, 구글이 아닌 MS나 다른 회사에서 만든 OTP 앱을 구글 웹사이트에서 써도 아무 지장이 없습니다. 참고로 MS에서 만든 OTP 앱에서도 해당 문제점이 있다고 하는데, 지금은 어떤지 모르겠네요.
 



  • ?
    달가락 2020.03.09 11:50
    Google OTP에서 Authy로 갈아타고 싶긴 했는데, 막상 다시 등록해야 할 걸 생각하니 엄두가 안나더라구요. iOS라 저 문제에는 해당사항이 없지만.. 다음에 여유 있을 때 꼭 해야겠어요.
  • profile
    쮸쀼쮸쀼 2020.03.09 12:03
    저는 Authy로 넘어갈 때 하루 날 잡고 한번에 다 바꿨습니다. 일단 하고 나니 편하더라고요.
  • profile
    슬렌네터      Human is just the biological boot loader for A.I. 2020.03.09 12:47
    authy로 갈아타야겟군요
  • profile
    늘푸른해리      히후미 귀여워요 히후미 2020.03.09 15:29
    MS OTP도 여전히 캡쳐 방지가 없는것 같네요. 멀티테스킹 화면에서도 OTP 화면이 계속 보이네요.
  • profile
    title: 폭8애옹      뿅! 2020.03.09 16:28
    전 시작할때부터 Authy로 시작했습니다
    역시 첫단추를 잘 끼워야 하죠
  • profile
    미야™      ガルル〜っぽい 2020.03.09 18:47
    저는 백업/멀티 디바이스 기능이 있어서 authy로 쓰고 있었어요. (보안에서 손해를 볼 수도 있는 기능이지만)
    확실히 스크린샷 찍으려고 하니까 "보안 정책에 따라 화면 캡처를 할 수 없어요" 라고 안내가 나오네요.
  • profile
    쿠민      나나니지 // MacBook Pro (14", M3 Pro) 2020.03.09 19:14
    이 글을 보고 Authy로 갈아탔습니다
  • profile
    라데니안 2020.03.09 20:40
    MS OTP 쓰고 있는데 혹시 모르니 옮겨 타봐야겠네요. 다행히 등록 계정이 몇 개 안 되어 금방 옮길 수 있겠습니다.
  • ?
    실핀 2020.03.09 20:50
    OTP 복구 비밀번호를 어디다 저장할지 질문글 올리려다가 이 글을 봤네요. 구글에서 갈아타야겠어요..
    Authy로 가려다 andOTP로 왔습니다. 캡쳐방지와 자동 야간모드 변경되는 인증앱은 못찾겠네요.
  • profile
    Touchless 2020.03.10 23:19
    OTP 앱도 이런 보안 문제가 있어서
    구글이나 마이크로소프트가 2FA 하드웨어 키를 도입하는 건가 싶습니다.

작성된지 4주일이 지난 글에는 새 코멘트를 달 수 없습니다.


  1. yum은 꾸준히 밀어주는가봅니다.

      이번 CentOS 8부터는 yum보단 dnf를 꾸준히 밀어주는 것 같아서 dnf만 쓴지 꽤 됐는데   yum도 업데이트는 꾸준히 되나봐요, 오늘 업데이트할 목록이 있다해서 한 번 쭉 훑어봤는데 맨 끝에 yum이 있습니다.   뭐 던전앤 파이터 아니 d...
    Date2020.03.10 일반 ByRetribute Reply18 Views970 file
    Read More
  2. No Image

    이란, 코로나19에 '외출 방지용' 공짜인터넷 100GB 제공

    제목만 보면 한국에서도 저렇게 해주면 좋을거라고 생각이 들지만, 그 안을 보면 전혀 그렇지 않습니다. 1. ADSL 가입자에게 100G 용량 제공. 외출을 자제하는 게 목적이니 스마트폰/무선/셀룰러가 아니라 유선 인터넷을 제공 2. 이란은 ...
    Date2020.03.09 소식 By낄낄 Reply6 Views857
    Read More
  3. No Image

    Antutu Benchmark, Google Play스토어에서 삭제

    최근 구글이 안드로이드의 대표적 벤치마크앱 Antutu Benchmark를 Play스토어에서 내려버린것이 확인되었습니다 이는 Antutu를 소유한 Cheeta Mobile의 불법적인 행위(권한남용,스캠성 광고,리뷰조작)들이 문제가 된것으로 보이며,Quickpi...
    Date2020.03.09 소식 ByElsanna Reply8 Views2840
    Read More
  4. No Image

    Google OTP 앱의 번호를 훔치는 악성코드 발견

    이제 OTP와 같은 2단계 인증은 웬만한 웹 서비스에서는 기본이 되었습니다. 구글은 지난 2010년부터 OTP 앱을 제공하고 있었고, 이 앱은 가장 널리 쓰이는 스마트폰 OTP 앱이라고 해도 과언이 아닙니다. 그런데 이 앱에서 어이없는 취약점...
    Date2020.03.09 소식 By쮸쀼쮸쀼 Reply10 Views1721
    Read More
  5. 원래 기가급 인터넷이라도 한 포트에서만 되는가 보군요?

      배전반에 요 친구라 있습니다.  포트가 1~4 순서대로 거실-안방-침실1-부엌으로 되어 있습니다. 근데 500 메가급  속도는 거실의 포트에서만 나오더군요.    혹시 기가급 인터넷이라 하더라도 포트에 부하가 동시에 걸리면 한 곳에서만...
    Date2020.03.08 질문 By쿨피스엔조이 Reply26 Views3748 file
    Read More
  6. 손상된 윈도우 이미지... 다시 받아야하는데 너무 귀찮네요

    윈도우 서버 2016으로 간단한 테스트해볼게 있어서 날밤 지세우며 이미지를 겨우 받았습니다. (사실 고생은 서버로 굴리고있는 장비가 다 했죠)   그리고 오늘, 다운로드가 아까 막 끝났다기에 VM으로 테스트하려고 ISO 이미지를 마운트하...
    Date2020.03.07 일반 ByRetribute Reply7 Views696 file
    Read More
  7. 윈도우 10 핫스팟 왜이럴까요

    타이치에 ax200로 교체했습니다. 드라이버도 최신이고, 윈도우도 2 번 포맷해봤고, 구글링도 수없이 해봤지만 해결이 아니되네요. 고정 ip로 연결하면 연결 만 됩니다. 인터넷은 사용이 불가하구요. 아마 dhcp 관련 문제인 것 같은데 어...
    Date2020.03.07 질문 By삼각만두 Reply9 Views958 file
    Read More
  8. No Image

    애플, 공인 기관에서 제작하지 않은 코로나 관련 앱을 거부

    애플은 정부나 병원같은 공인 기관에서 제조하지 않은 코로나 관련 앱의 등록을 거부하고 있습니다. 그 결과 앱 스토어에서 코로나 바이러스나 COVID-19를 검색하면 관련 앱이 많이 뜨지 않습니다. 4명의 개발자들이 앱 등록을 거부당했으...
    Date2020.03.06 소식 By낄낄 Reply4 Views935
    Read More
  9. 이 경고메시지 왜 뜨는지 아시는 분?

      윈도 10깔고 몇몇 프로그램 깔고 쓰는데 이게 뜨네요  메모리 쪽 이상인가요? 프로그램 단순 충돌일까요?
    Date2020.03.06 질문 By소망노인복지센터 Reply13 Views1051 file
    Read More
  10. No Image

    CIA의 패스워드: 123ABCdef

    지난 2017년 3월 7일에 위키리크스(WikiLeaks)가 “볼트 7”(Vault 7)이라는 이름으로 CIA의 기밀 프로그램 [Weeping Angel]을 까발린 것을 기억하시는지 모르겠습니다. 당시 삼성 스마트TV 등의 스마트 가전제품이나 공유기 등을 해킹해서 ...
    Date2020.03.06 소식 By쮸쀼쮸쀼 Reply18 Views3119
    Read More
  11. No Image

    북한 가상화폐 해킹 범죄에 중국인이 돈세탁

    미국 법부무는 북한의 사이버 범죄 집단인 라자루스가 가상화폐 거래소를 해킹해서 취득한 가상화폐의 돈세탁에 참여했다는 혐의로 중국인 두명을 기소했습니다. 미국 재무부도 이들 사람에 제재를 실행했다고 발표했습니다. 북한의 계좌...
    Date2020.03.05 소식 By낄낄 Reply2 Views686
    Read More
  12. 하드웨어 취약점을 이용한 아이폰에 안드로이드 부팅 프로젝트

      애플 A7~ A11 AP에 있는 하드웨어 취약점(checkra1n)을 이용하여 아이폰에 안드로이드를 부팅할 수 있는 Project Sandcastle이 나왔습니다.   아직은 아이폰7, 7플러스 기종에서만 사용 가능하며 추후 다른 기종도 지원 예정입니다.   ...
    Date2020.03.05 소식 By깍지 Reply15 Views1566 file
    Read More
  13. No Image

    리눅스는 앞으로 xfce를 써야겠어요..

    ZorinOS Core (Ubuntu 18.04 ; GNOME) 아주 훌륭합니다.   논문 프로포절도 오픈오피스에서 돌려보고 이정도면 할만하겠다. 싶고 (굳이 MS오피스를 안 깔아도 될거 같아요.) 어짜피 PPT야, 대학원에 몸 담을수록 디자인 따윈 신경 안쓰는 ...
    Date2020.03.05 일반 By뚜찌`zXie Reply10 Views2202
    Read More
  14. No Image

    페이스북, 리브라 가상화폐를 재검토

    페이스북이 추진 중이었던 가상화폐 프로젝트인 리브라를 재검토 중이라고 합니다. 2019년 6월에 발표하고, 2020년 상반기부터 발행하겠다고 했으나, 여러 국가에서 반대하는 의견이 나왔지요. 가상화폐의 발행 자체를 포기하진 않았지만 ...
    Date2020.03.05 소식 By낄낄 Reply0 Views422
    Read More
  15. SETI@Home, 가동을 잠시 중단하다

      1999년부터 2020년까지 사용자들의 자원을 허락하여 가져온 그리드컴퓨팅의 선두주자인 SETI@HOME이 잠시 활동을 중단합니다.   중단하는 이유로는 원하는 정도의 데이터를 해석하였고, 이제까지 분산되었던 데이터들을 다시 분석하기 ...
    Date2020.03.04 소식 By책읽는달팽 Reply8 Views1429 file
    Read More
목록
Board Pagination Prev 1 ... 358 359 360 361 362 363 364 365 366 367 ... 572 Next
/ 572

최근 코멘트 30개
메이드아리스
19:18
까르르
19:16
uss0504
19:14
메이드아리스
19:14
uss0504
19:12
툴라
19:11
노예MS호
19:09
메이드아리스
19:03
까마귀
19:02
미쿠미쿠
19:02
ㅇ마당ㅇ
19:01
니즛
18:48
노예MS호
18:46
mnchild
18:46
메이드아리스
18:45
노예MS호
18:44
아이들링
18:39
아이들링
18:36
0.1
18:34
0.1
18:33
아이들링
18:33
빈도
18:29
Normie
18:25
K_mount
18:23
아이들링
18:19
아이들링
18:17
툴라
18:14
0.1
18:08
슬렌네터
18:07
툴라
18:05

MSI 코리아
한미마이크로닉스
AMD
더함

공지사항        사이트 약관        개인정보취급방침       신고와 건의


기글하드웨어는 2006년 6월 28일에 개설된 컴퓨터, 하드웨어, 모바일, 스마트폰, 게임, 소프트웨어, 디지털 카메라 관련 뉴스와 정보, 사용기를 공유하는 커뮤니티 사이트입니다.
개인 정보 보호, 개인 및 단체의 권리 침해, 사이트 운영, 관리, 제휴와 광고 관련 문의는 이메일로 보내주세요. 관리자 이메일

sketchbook5, 스케치북5

sketchbook5, 스케치북5

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소