야후, 이메일 훔쳐볼 수 있는 취약점 발견

2016-12-12 14:37
방수호 前 기자 scavenger@bodnara.co.kr

야후(Yahoo!) 이메일 서비스에서 타인이 이메일을 훔쳐볼 수 있는 취약점이 있다는 소식이 전해졌다.

이번 취약점은 핀란드 보안기업 Klikki Oy의 연구원이 발견한 것으로, 야후의 XSS (Cross-Site Scripting) 취약점 때문에 사용자가 악성코드가 포함 된 이메일을 열기만 해도 감염 되고 그 시스템에서 해커가 피해자의 이메일을 확인할 수 있다.

야후 이메일 서비스에서 HTML 필터링 기능이 악성코드를 제대로 걸러내지 못하고 HTML 속성에서 자바(JAVA) 스크립트 용도로 각각의 앱 데이터를 저장하는데 그것이 공격 경로로 사용 된 것으로 추정 된다.

이번 취약점을 발견한 연구원은 AJAX (비동기식 자바 스크립트&XML)를 사용해서 이메일을 야후 계정으로 보내고 그 이메일을 열어본 상태에서 받은 편지함의 이메일들을 읽는 것과 공격자의 서버로 전송 가능한지 검증해보았다.

따라서 야후 서비스 사용자들은 대비책이 마련 되기 전까지는 낯선 이메일을 받으면 아예 삭제하는 것이 보안상 안전하다.

비회원

보드나라 많이 본 뉴스

보드나라 최신 뉴스

보드나라 많이 본 기사

보드나라 최신 기사