메신저의 취약점 공개: 해커가 기기에 침투하여 기기를 손상시키는 방법 이해하기

이 기사는 기계로 번역되었습니다
원문 표시

이 중요한 주제를 제기해준 TG 채널 팔로워에게 큰 감사를 드리며, 연구원들은 최근 특히 텔레그램에서 계정 탈취가 현저하게 증가하는 것을 관찰했습니다. 대부분의 경우 피싱과 소셜 엔지니어링이 함께 사용되는 경우가 많다는 점을 언급하는 것이 중요합니다.

하지만, 오늘은 피싱 공격이 아닌 메신저 취약점으로 인해 계정이 탈취된 사례에 대해 말씀드리고자 합니다(다행히도 대부분 빠르게 수정됩니다):

  1. CVE-2022-36934 (WhatsApp의 심각한 취약점) - 영상 통화 중 버퍼 오버플로우를 통해 RCE를 실행할 수 있습니다;

  2. CVE-2022-27492 (WhatsApp의 취약점) - 미리 생성된 비디오 파일을 전송하여 RCE를 실행할 수 있습니다;

  3. 2017년에는 이미지 파일을 전송하는 것만으로 텔레그램과 왓츠앱 계정을 탈취할 수 있다는 뉴스가 많이 나왔습니다. 그리고 악성코드에 감염되기 위해 반드시 휴대폰에 다운로드할 필요는 없었습니다. 하지만 아직까지 이 CVE에 대한 확인된 사례는 발견되지 않았습니다.

여기서 어떤 결론을 내릴 수 있을까요? 2FA, 메일 바인딩 및 기타 기능을 제외하고 메신저에서 할 수 있는 가장 좋은 방법은 파일 자동 다운로드를 끄는 것입니다.

텔레그램에서 자동 다운로드를 비활성화 하려면, "개인정보 및 보안 → 데이터 설정"으로 이동합니다. 이는 와이파이와 셀룰러 연결 모두에 적용됩니다. 어떤 것이 나에게 전송될지, 어제 어떤 0데이가 출시될지 알 수 없으니, 항상 사전 경고는 사전 예방이라는 것을 기억하고, 너무 늦기 전에 필요한 모든 보안 예방조치를 미리 취하시기 바랍니다.

https://github.com/OffcierCia/Crypto-OpSec-SelfGuard-RoadMap/blob/main/README.md

물론, 입력, 전송, 열어보는 항목과 장소에 대해 조금 더 주의를 기울이지 않는다면 바이러스 백신 소프트웨어나 2단계 인증은 아무런 소용이 없다는 점을 항상 명심해야 합니다!

비공개 또는 익명?

오늘날과 같이 서로 연결된 디지털 환경에서 온라인 계정 보안의 중요성은 아무리 강조해도 지나치지 않습니다. 개인이 커뮤니케이션을 위해 인스턴트 메시징 플랫폼에 점점 더 많이 의존함에 따라 개인정보와 개인 정보를 보호해야 할 필요성이 가장 중요해졌습니다. 특히, 프라이버시 기능과 암호화로 유명한 앱인 텔레그램의 경우, 악의적인 행위자의 잠재적인 위협으로부터 우리의 디지털 입지를 강화하기 위해서는 계정 보안의 중요성을 이해하는 것이 필수적입니다.

텔레그램의 광범위한 사용자 기반과 프라이버시에 대한 강조는 안전한 커뮤니케이션 수단을 찾는 개인과 단체에게 매력적인 선택이 되었습니다. 하지만, 텔레그램은 강력한 보안 기능을 제공하지만, 사용자들은 자신의 계정을 보호하고 민감한 정보를 보호하기 위한 사전 조치를 취하는 것이 필수적입니다.

본질적으로, 텔레그램 계정 보안의 필요성은 개인의 이익을 넘어, 보다 안전하고 프라이버시를 중시하는 디지털 커뮤니티를 육성하는 것으로 확장됩니다. 계정 보안을 우선시하고 플랫폼에서 자신의 존재감을 강화하기 위한 강력한 조치를 시행함으로써, 자신의 프라이버시와 정보를 보호할 뿐만 아니라, 텔레그램 네트워크의 전반적인 보안 태세 강화에도 기여하게 됩니다.

심각하게 말하자면, 인간의 자유는 프라이버시를 전제로 하며, 프라이버시가 없다면, 형사 기소부터 대중의 비난, 강압적인 조치에 이르기까지 모든 것에 의해 쉽게 흔들릴 수 있습니다. 저는 프라이버시를 보호해야 한다는 원칙에는 예외가 있어서는 안 된다고 생각합니다. 사용자의 데이터는 기업, 해커, 특수 서비스 등 제3자가 아닌 오직 사용자 본인에게만 속합니다.

그렇기 때문에 익명성과 개인정보 보호를 구분하는 것이 중요합니다. 프라이버시는 사람들이 내가 누구인지는 분명히 알 수 있지만, 내가 무엇을 할지는 알 수 없다는 것을 의미합니다. 익명이란 내가 어떤 일을 하는지 알 수 있지만 사람들이 내 신원을 알지 못한다는 뜻입니다.

대부분의 사람들에게 익명성은 바람직하지만 필수는 아닙니다. 다른 사람이 내 데이터를 볼까 봐 걱정된다면 익명성이 필요합니다. 하지만... 어느 정도의 보안이 필요할까요? 사용자의 행동, 잠재적 공격자의 신원 및 기타 요인을 포함하는 위협 모델에 따라 달라집니다. 온라인 보안, 개인정보 보호, 익명성은 개인 보안과 결합할 때 훨씬 더 안전합니다. 개인 정보 보호는 필수적이지만 모든 사람이 개인 보안이나 익명성을 필요로 하는 것은 아닙니다.

https://medium.com/illumination/unfolding-ancient-wisdom-how-ancient-stories-teach-modern-humans-about-security-and-opsec-909c5e1101f3?source=post_page-----c6c569cf8b87--------------------------------

법 집행 기관과 '빅 테크' 기업이 가장 먼저 사용자의 데이터에 관심을 가지므로 다른 사람에게 의존하기보다는 스스로를 보호하세요. 숨길 것이 있는지 스스로에게 묻지 마세요. 안전하게 지키고 싶은 것이 있나요? '무해한 감시'를 옹호하는 수많은 사례는 심각한 영향을 미칩니다.

다시 한 번 생각해 보세요. 기술이 발전함에 따라 우리의 디지털 존재를 보호하는 것은 점점 더 중요해지고 있으며, 이는 모든 디지털 플랫폼에서 계정 보안에 대한 강력한 노력이 필요함을 강조하고 있습니다!


텔레그램: 설정 체크리스트

가벼운 채팅 클라이언트인 텔레그램은 암호화폐에서 가장 일반적인 커뮤니케이션 수단 중 하나이며, 그만한 이유가 있습니다. 이 앱은 업무와 커뮤니케이션에도 자주 사용되기 때문에, 사기꾼과 해커들이 피해자를 찾는 것은 당연한 일입니다.

이 글은 처음에제가 전 직장이었던 immunefi.com을 위해 직접 작성한 글입니다.

피해자가 되지 않는 방법을 알아봅시다! 시작하겠습니다!

텔레그램 사칭자(사기꾼은 자기소개에 별명을 삽입하고 자신의 별명은 비워둘 수 있으므로 텔레그램 자기소개를 주의 깊게 확인하세요), 피싱 링크가 포함된 가짜 텔레그램 로그인 알림( 공식 텔레그램 뉴스 및 팁 채널로 들어오는지 주의 깊게확인하세요), 가짜봇(예, 사용자 계정이 아닌 봇이 먼저 DM을 보낼 수 있습니다) 등에 주의하세요!

텔레그램 채팅 중 어떤 것도 1:1이 아닌 E2E 암호화, 그룹이 아닌 TLS로만 암호화되어 있지 않습니다. 오직 비밀 채팅만 iirc.

  • 전화 번호 → 내 전화 번호를 볼 수 있는 사람 - 아무도;

  • 데이터 및 저장소 → 미디어 자동 다운로드 → 끄기;

  • 휴대폰 번호 → 내 번호로 나를 찾을 수 있는 사람 - 내 연락처;

  • 마지막으로 본 사람 및 온라인 → 내 타임스탬프를 볼 수 있는 사람 - 아무도 없음;

  • 프로필 사진 → 내 프로필 사진을 볼 수 있는 사람 - 내 연락처

  • 전화 → 내게 전화를 걸 수 있는 사람 - 내 연락처(또는 원하는 경우 아무도 없음);

  • 통화 → 피어투피어 - 내 연락처(또는 채팅 파트너와 IP 주소를 공유하지 않으려는 경우 아무도 없음);

  • 통화를 시작하면 오른쪽 상단에 4개의 이모티콘이 표시됩니다. 상대방에게 이모티콘의 이름을 물어보고 자신의 이모티콘과 비교해 보세요(자신의 이모티콘과 같아야 함). 이 이모티콘은 MitM으로부터 보호됩니다;

  • 전달된 메시지 → 내 메시지를 전달할 때 내 계정에 링크를 추가할 수 있는 사람 - 내 연락처;

  • 텔레그램에 연락처를 추가하지 마세요 (있는 경우, 지우세요), 항상 VPN을 사용하세요;

  • 그룹 및 채널 → 나를 추가할 수 있는 사람 - 내 연락처;

  • 2단계 인증(클라우드 비밀번호)을 설정합니다;

  • 클라우드 이메일 2FA를 설정하세요!

  • 2FA에 대한 자세한 내용은 core.telegram.org/api/srp#email-verification & 이것을 참고하세요;

  • 스티커 루프 애니메이션 비활성화! 애니메이션 스티커 = 위험;

  • 자동 다운로드 비활성화 (와이파이와 셀룰러 모두): 개인정보 및 보안 → 데이터 설정으로 이동합니다;

  • IP가 노출될 수 있으므로 모든 사람의 P2P 통화를 비활성화하세요! 비밀 채팅도 마찬가지입니다! 종단 간 암호화는 내 IP가 채팅 상대방에게 알려질 수 있다는 것을 의미합니다. 그 반대의 경우도 마찬가지입니다;

  • 비밀 대화에서 링크 및 이미지 미리보기를 비활성화합니다 (개인정보 및 보안 섹션에서 아래로 스크롤합니다;

  • 자동 재생 GIF 비활성화!

  • 텔레그램 프리미엄 구독 ( 번호사용자 이름)은 이제 TON: fragment.com/premium에서 구매 가능합니다;

  • 네덜란드 경찰이 숨겨진 텔레그램 번호에 접근 가능 - 버너 번호를 사용하세요!

  • 텔레그램 봇을 ( /시작을 통해) 활성화하지 마세요! 텔레그램 봇을 건드리지도 마세요 (공개 채팅 봇만 안전한 것으로 간주되며, 명령을 통해 공개 채팅에서 조작할 수 있습니다), 텔레그램 봇에게 절대로 DM을 보내지 마세요! (모든 버튼에는 SQLi 취약점 또는 더 심각한 취약점이 포함될 수 있습니다);

  • PDF(예: 이력서)를 열어야 하는 경우, 위험존.rocks 또는 구글 드라이브 미리보기(업로드 요청)를 사용하세요;

  • 활성 세션을 조심하세요! 비활성 세션은 종료하세요! 세션 도용자를 조심하세요;

  • 계정 로그인에 대한 메시지를 받는 경우, 합법적인 텔레그램 알림 및 뉴스 채널에서 온 메시지인지 확인하세요. 사기꾼들은 이 알림 채널을 사칭하여 SMS의 OTR 코드를 제공하도록 유도할 수 있습니다;

  • 텔레그램 자주 묻는 질문을 확인해보세요;

  • 텔레그램에 로그인 할 때는, 실제 휴대폰 번호가 아닌다른 전화번호 또는 가상 전화번호를사용하세요. 하지만, 일회용 번호를 사용할 경우, 다른 사람이 내 계정에 접근을 할 수 있습니다. IP 주소를 숨기려면, VPN을 사용하세요 (예를 들어, 법 집행 기관의 요청이 있을 경우, 텔레그램에서 제공할 수 있습니다);

  • 이 목록을 확인하고, 텔레그램 팁을 따르세요;

  • 계정 로그인 애플리케이션이 있는 별도의 보안 디바이스가 필요합니다;

  • 계정에 로그인한 애플리케이션의 작업과 서비스 알림을 통한 채팅을 정기적으로 확인해야 합니다. 최소 5일에 한 번씩;

  • 계정에 로그인한 디바이스가 많을수록 계정 유출 위험이 높아집니다. 또한, 로그인된 기기는 텔레그램 계정의 보안을 보장하는 도구입니다;

  • 이 프로젝트는 텔레그램 제한에 대해 설명합니다! | 링크 2;

  • SamCZSun의 더 많은 보안 팁;

  • 면역피에 쓴 저의 이전 글.

  • 누구나 대량 어뷰징의 피해자가 될 수 있습니다. abuse@telegram.org / 지원 상담원 +42470으로 편지를 보내야 합니다(이 전화를 연락처에 추가);

  • 또한 텔레그램 설정에서 "질문하기"에 있는 지원팀에 문의해야 합니다;

  • 다음으로, 이 양식을 작성하세요 telegram.org/support;

  • 공식 텔레그램 사이트, 클라이언트 등의 변경 사항을 자동으로 감지합니다;

  • 제한을 받으셨다면, @SpamBot을 방문하여 클릭하세요;

  • 내 TG 채널에 가입하기.


최종 코멘트

복잡한 디지털 세상 속에서 온라인 계정을 안전하게 지켜야 할 필요성은 끊임없이 존재합니다. 텔레그램 계정 보안을 강화하기 위해 의도적으로 노력하는 것은 안전한 커뮤니케이션의 무결성을 유지하고, 개인 데이터를 보호하고, 프라이버시를 보호하기 위한 사전 예방적 조치입니다.

제 작업을 지원하고 싶으시다면, 기부를 고려해 주세요:

요약하자면, 텔레그램 계정을 보호하는 것은 필수적이며, 보안, 개인정보 보호, 그리고 올바른 디지털 시민의식을 위한 더 큰 노력이 필요합니다. 저희는 계정을 강화하여 무결성, 프라이버시, 신뢰를 지키는 보다 안전하고 안전한 가상 환경 개발에 적극적으로 기여하고 있습니다.

감사합니다! 안전하게 지내세요!

Mirror
면책조항: 상기 내용은 작자의 개인적인 의견입니다. 따라서 이는 Followin의 입장과 무관하며 Followin과 관련된 어떠한 투자 제안도 구성하지 않습니다.
라이크
즐겨찾기에 추가
코멘트