세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
Feedly 앱, 자바스크립트 인젝션 취약점 발견
  |  입력 : 2014-05-12 16:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

사용자 쿠키값·웹페이지 변조 등 정보수집 및 추가공격 가능
취약점 업데이트 됐지만 보안조치 내용 공개되지 않아

[보안뉴스 김경애] 블로그, 잡지, 웹사이트 등을 한번에 검색할 수 있는 RSS 구독 안드로이드앱 ‘Feedly’에서 자바스크립트 삽입 공격을 통해 다양한 형태의 정보수집 및 추가공격이 가능한 것으로 조사됐다.

 ▲스크립트 삽입후 실행화면


Feedly는 iOS와 안드로이드 기기 모두 사용할 수 있으며, 이용자는 안드로이드기기에서만 5백만명 이상이다.


이와 관련 싱가포르 보안전문가 Jeremy S.에 따르면 인기 RSS 구독 앱인 ‘Feedly’에서 악성스크립트 삽입 공격에 취약점이 발견됐다고 밝혔다.


Jeremy 연구원은 “Feedly 앱에서는 웹사이트 및 블로그에 있는 자바스크립트 코드를 검증하는 절차 없이 검색페이지를 불러오게 돼 사용자가 Feedly 앱을 통해 RSS 가입된 사이트의 내용을 탐색할 때 변조된 블로그 페이지를 통해 악성스크립트가 실행될 수 있다”고 설명했다.


악성스크립트가 실행될 경우 사용자 쿠키값 변조, 웹페이지 내용의 변조, 다른 사용자 공격을 위한 악성코드 삽입 등 다양한 형태의 정보 수집 및 추가 공격이 가능하다는 것.


해당 취약점에 대해 Jeremy 연구원은 “지난 3월 10일 ‘Feedly’에 통보한 후 3월 17일 해당 앱의 취약점 업데이트가 이루었지만 취약점 보안조치 내용은 공개되지 않았다”고 전했다.


좀더 자세한 사항은 인터넷침해대응센터 또는 아래 링크를 참고하면 된다.


[출처]

1.http://thehackernews.com/2014/04/feedly-android-app-javascript-injection.html

2.http://securityaffairs.co/wordpress/24209/hacking/feedly-javascript-vulnerable.html

3.http://www.techienews.co.uk/9710092/feedly-android-app-vulnerable-javascript-injection/

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 공공 및 민간의 클라우드 컴퓨팅 도입이 더욱 활발해질 것으로 보입니다. 보안성과 효율성을 고려할 때 자사의 클라우드 도입시 가장 우선적으로 검토할 기업 브랜드는?
아마존웹서비스(AWS)
마이크로소프트 애저(MS Azure)
IBM 클라우드
오라클 클라우드
NHN엔터테인먼트 토스트 클라우드
NBP 네이버 클라우드 플랫폼
기타(댓글로)