패치되지 않은 Safari 브라우저 해킹으로 URL 스푸핑 가능하니 조심하세요.

패치되지 않은 Safari 브라우저 해킹으로 URL 스푸핑 가능하니 조심하세요.

 

 

 

보안 연구자가 Windows용 Microsoft Edge 웹 브라우저와 iOS용 Apple Safari의 웹 사이트 주소를 스푸핑할 수 있는 심각한 취약성을 발견했습니다.

 

Microsoft는 지난 달 월별 보안 업데이트의 일부로 주소 표시줄 URL 스푸핑 취약성을 해결했지만 Safari는 여전히 패치가 해결되지 않아 Apple 사용자가 피싱 공격에 취약할 수 있습니다.

오늘날 피싱 공격은 정교하고 발견하기가 점점 더 어려워지고, 새로 발견된 이 취약성은 웹 사이트가 가짜인지 확인하기 위해 사용자가 가장 먼저 확인하는 URL 및 SSL과 같은 기본 표시기를 우회할 수 있습니다.

 

파키스탄 보안 연구자 Rafay Baloch에 의해 발견된 이 취약점(CVE-2018-8383)은 웹 브라우저가 페이지 로딩 중에 JavaScript가 URL 바의 페이지 주소를 업데이트할 수 있도록 하여 발생하는 문제 때문입니다.

 

애플의 사파리를 사용하는 사용자들은 패치가 될 때가지 주의를 해주세요.

 

 

출처 : https://thehackernews.com/2018/09/browser-address-spoofing-vulnerability.html

 

 

스푸핑이란?

 

승인받은 사용자인 것처럼 시스템에 접근하거나 네트워크상에서 허가된 주소로 가장하여 접근 제어를 우회하는 공격 행위.

스푸핑은 의도적인 행위를 위해 타인의 신분으로 위장하는 것으로 매체 접근 제어(MAC) 주소, 인터넷 프로토콜(IP) 주소, 포트(port), 전자우편(이메일) 주소 등을 이용한다. 예를 들어, 임의로 웹 사이트를 구성해 일반 사용자들의 방문을 유도하고, 인터넷 프로토콜인 TCP/IP의 구조적 결함을 이용해 사용자의 시스템 권한을 획득한 뒤 정보를 빼 가거나 허가받은 IP을 도용해 로그인을 한다. 또한 소비자들이 믿을 수 있는 이메일로 착각하여 가짜 웹 사이트로 유도하여 사용자가 암호와 기타 정보를 입력하도록 속이기도 한다.