Rogue Femtocell Owners: How Mallory Can Monitor My Devices

Source

• Evernote/IFTTT Feedly/Rogue Femtocell Owners How Mallory Can Monitor My Devices.md

Summary

구글 연구진은 피코셀(Femtocell)의 악의적인 소유자가 기기의 접근 제어 기능을 악용해 제3자의 모바일 기기를 은밀히 모니터링할 수 있는 보안 취약점을 발견했습니다. 연구진은 실제 피코셀 트래픽 분석을 통해 암호화된 백홀(Backhaul) 트래픽 분류로 모니터링이 가능함을 입증했으며, 전력 사용량과 상태 LED와 같은 사이드 채널(Side Channel) 정보도 악용될 수 있음을 지적했습니다. 마지막으로 이러한 문제를 해결하기 위한 적절한 방안을 제시합니다.

Key Points

• 피코셀 소유자가 접근 제어 기능을 악용해 타인의 모바일 기기를 은밀히 모니터링할 수 있는 새로운 보안 위협 발견
• 암호화된 백홀 트래픽 분류를 통한 모바일 기기 모니터링 가능성 입증 (실제 트래픽 분석 기반)
• 전력 사용량 및 상태 LED와 같은 사이드 채널을 통한 추가 정보 유출 가능성 제시
• 해당 보안 문제 해결을 위한 대응 방안 제안

Related

• IoT 환경 리눅스 OS 대상 웜 ‘리눅스 달로즈’ 분석

• Obfuscatory Obscanturism: 상업적 민감성 시스템의 워크로드 트레이스 안전하게 공개하기

• 스마트 기기 카메라를 통한 터치 패턴 기반 암호 추론 공격

• Tick Tock: 타이밍 사이드 채널을 이용한 브라우저 레드 필 구축

• Hacking Google for fun and profit - andrew makes things

• 화이트 스페이스에서 무선 마이크 위장 공격 탐지

• iOS 충전기 해킹 취약점 (조지아공대 연구)

• 브라우저 기반 사후 멀웨어 보호 (Browser Based Retroactive Malware Protection)

• 모토로라, 사용자 눈길 인식 스마트워치 특허 출원

• DDoS 공격 시각화: VideoLAN 사례

• Google uProxy: P2P 인터넷 검열 우회 도구

• 브라우저 캐시를 통한 지리적 추론 공격 (Geo-Inference Attacks via Browser Cache)

• 청각 불가청음을 이용한 에어갭 점프 멀웨어

• CAMP: Content-Agnostic Malware Protection

• 지문 인식 시스템의 반스푸핑(Antispoofing) 기법 조사

• 위치 기반 관심사 검증 매칭 알고리즘 (구글 특허)

• 드라이브 바이 다운로드 공격 기법 및 사례 분석

• Crowd-Sourced Call Identification and Suppression

• 웹 기반 멀웨어 분석 및 방어 연구 동향

• 타자 패턴 기반 사용자 인증 스마트 키보드

• Brute-Force Attacks Explained: How All Encryption is Vulnerable

• Digital Forensics with Open Source Tools (도서 소개)

• Etsy의 비판 없는 사후 분석 (Blameless Postmortem)

• 2013년 한국 대상 대규모 제로데이 공격 분석 (IE & Java)

• 일베 게시글: 해킹툴 판매자 신고 가이드 (2013)

• XSS(Cross Site Scripting) 취약점 개요 및 시리즈 소개

• APT(지능형 지속 위협) 개요 및 주요 사례

• 웹 기반 악성코드 유포 메커니즘 및 OWASP Top 10(SQL Injection) 개요

• 검색만으로도 해킹에 노출된 청소년들

• 니들이 해킹을 알어? - 1부 (디스이즈게임 연재)

• 모바일 DDoS 공격의 현실화와 ‘좀비스마트폰’ 위협

• 모니터링 대상 중국 해커 커뮤니티 및 사이트 목록 (2006)

• 웹 서비스 회귀 테스트에 대한 체계적 매핑 연구 (2014)

• 실용적인 HTTP Host 헤더 공격

• 나쁜 인증 시도 방어하기 (1 편)

• 맷 호난(Mat Honan) 아이클라우드 해킹 사건 분석

• 미국 침입자 사살 허용설 반박

• Please don’t use these passwords. Sincerely, the Internet

• HTTP 기반 애플리케이션 방화벽 정책 분석

• Rustle League, Anonymous 관련 계정 해킹

• 알람 시계 분해 및 회로 분석

• 스마트 잠금 장치의 보안성: 안전할까, 아니면 어리석을까?

• 어나니머스 코리아 실체 논란 및 보안 전문가의 비판

• xHelper Android 악성코드: 공장 초기화에도 제거 불가

• WPA)

• Authentication at Scale

• 아두이노 기반 모기 퇴치기

• 만화로 보는 DNS over HTTPS (DoH) 소개

• 웹 애플리케이션 서버 측 보안 접근 방식에 대한 조사

• 중국 해킹툴 관련 사이트 목록 (2007)

• CSRF)

• Developers don’t understand CORS

• KTH Encloser: 지오펜싱 기반 위치 서비스 플랫폼

• 웹 서비스에서의 마이크로컴퓨테이션 기반 마이크로페이먼트

• Points: 하이퍼로컬 웨이파인딩 키오스크

• 2015 년 최악의 비밀번호 목록 및 보안 권고사항