| 요약 | - 구글 오오스에서 근본적인 설계 오류가 발견 되었으며, 관련 패치는 발표되지 않음 - 망한 회사의 도메인을 구입하면, 그 회사의 과거 SaaS 등에 접속 가능 |
| 내용 | - 구글 오오스 설계 오류로 망한 회사의 도메인을 이용해 계정이 연동된 서비스에 로그인 가능 > 사용자를 나타내는 일련의 정보들인 클레임(Claim)을 사용해 로그인 가능 여부를 판단 > 클레임에는 사용중인 도메인과 사용자의 이메일 주소가 포함 > 이 두 가지 클레임만으로 로그인 가능 여부를 판단할 때 문제가 발생 > 도메인 소유권이 변경되었어도 도메인 이름과 이메일 주소만 같다면 로그인이 가능 > 누군가 망한 회사의 도메인을 구매할 경우, 클레임을 물려받게 되고, 이를 통해 이전 SaaS에도 로그인 가능 - 구글은 아직 패치를 발표하지 않았으며, 언제 발표될 지도 모름 > 현재로서는 해결책이 없음 > 기존 클레임 외 변하지 않는 식별자를 어떻게든 도입해야 함 |
| 기타 | - |
보안뉴스
구글 오오스가 가진 근본 취약점, 구글은 아직 해결하지 못해
이제는 ‘구글 계정으로 로그인’(Sign in with Google)을 못 본 사람은 드물 것이다. 구글만이 아니라 애플과 페이스북, 네이버에 계정이 있는 사람이라면 비슷하게 로그인을 할 수 있다. 편리하면서
www.boannews.com
Millions of Accounts Vulnerable due to Google’s OAuth Flaw ◆ Truffle Security Co.
Millions of Americans can have their data stolen right now because of a deficiency in Google’s “Sign in with Google” authentication flow. If you’ve worked for a startup in the past - especially one that has since shut down - you might be vulnerable
trufflesecurity.com
'보안뉴스' 카테고리의 다른 글
| 오래됐지만 여전히 사랑받는 NTLM, 이제 정말 없애야 할 때 (0) | 2025.01.22 |
|---|---|
| 챗GPT·클로드·제미나이에 유출된 정보 분석했더니… (0) | 2025.01.22 |
| [긴급] 도커 데스크톱, 최신 버전으로 업데이트 필수…잘못된 코드 서명 인증서 문제 발생 (0) | 2025.01.12 |
| 3백만 개 메일 서버, 암호화 없이 방치…사용자 정보 노출 위험 (0) | 2025.01.04 |
| “당신의 클릭을 훔치겠습니다”가 “당신의 더블클릭을 훔치겠습니다”로 변하다 (0) | 2025.01.04 |