한 직원이 Chrome에서 취약점을 발견하고 Google로부터 시상을 받고 도쿄 보안 컨퍼런스에 방문했습니다.
[dropcap]NS[/dropcap]Pwn2Own 콘테스트의 도쿄 PacSec 컨퍼런스에서 Guang Gong이라는 보안 연구원은 Google Chrome의 실패를 통해 Android 운영 체제를 완전히 제어할 수 있는 방법을 보여주었습니다. 이 위협의 가장 큰 문제는 악의적인 사람들이 하나의 악성 링크에 접근하여 스마트폰이나 태블릿에 침입할 수 있을 만큼 크기가 크다는 점입니다.
크롬 사용자의 보안 문제로 인해 결함에 대한 세부 정보가 완전히 공개되지 않았습니다. 그러나 Gong은 JavaScript 엔진 8v를 이용하고 사용자가 해당 악성 사이트를 방문하면 해당 악성 링크로 사용자가 해커에 노출되고 장치가 해커에 의해 완전히 제어될 것이라고 말했습니다. 여기 이 뉴스를 비밀로 만드는 가장 큰 문제가 있습니다. 나쁜 의도를 가진 해커가 있으면 Chrome 사용자를 악용하기 위해 작업을 시작할 수 있지만 취약점이 발견된 직후 Google 팀 제품 관리자가 개발자 팀을 작업에 착수했습니다. 취약점을 해결합니다.
Chrome에서 취약점을 발견한 직원으로부터 Google은 깊은 인상을 받았습니다.
시연 중에 연구원은 Nexus 6 Project Fi에 침입하여 직접적인 상호 작용 없이 애플리케이션을 설치할 수 있었습니다. 실패는 JavaScript를 기본으로 사용하므로 이론적으로 모든 Android 기반 스마트폰에서 작동하도록 조정할 수 있습니다. 제어는 Chrome뿐만 아니라 해커가 이 취약점에서 사용할 수 있는 갤러리 및 카메라 드라이브에도 제한이 있습니다.
그의 발견에 대한 보상으로 Gong은 2016년 CanSecWest 컨퍼런스 여행에서 우승했으며 Google에서 수여하는 넉넉한 상금을 받게 될 것입니다. 회사의 한 구성원이 프레젠테이션에서 실패가 드러났고 이미 회사에서 암시했으며 현재 수정 방법을 모색하고 있습니다. 기본적으로 공격은 JavaScript Engine v8의 신경을 건드릴 것입니다. 이 취약점은 사용자가 사용하는 Android 버전과 다르지 않다고 합니다. JavaScript v8 엔진이 내장된 Chrome이 있는 모든 Android 버전은 해커의 손에 시스템을 제거할 수 있습니다.
직원이 자신을 아는 사람들로부터 존경받는 완벽함을 얻었다고 말했듯이, Gong은 2016년에 개최될 CanSecWest Security Conference에 출장에서 우승하여 Google로부터 버그 바운티라고 하는 현상금을 받았습니다. 이로부터 구글 크롬 팀이 v8 JavaScript Engle에서 크롬의 취약점에 대해 들은 후, 팀이 회의 미팅에 급히 달려가 공이 이 취약점이 어떻게 작동하는지 시연하고, 곧 팀은 버그 파인더를 축하합니다 그리고 최대한 빨리 취약점을 복구하고 수정하기 위해 Google 본사로 달려갑니다.
또한 읽기:
-
CyberCriminals의 표적이 되는 이메일 제공업체,
-
해커들은 이제 악성코드를 주입하기 위해 비디오 광고를 사용하고 있습니다.
- 보안 위험에 처한 Java 구식 애플리케이션
이제 취약점은 팀에 의해 해결되었으며 Google Chrome 팀장은 Gong에게 감사의 편지를 보냅니다.