미니 라온시큐어 TouchEn nxKey "최악의 보안 취약점" 공개
- 맞는말만함
- 조회 수 1413
- 2023.01.10. 08:41
원문과 상세 내용은 상기 링크를 통해 보시면 됩니다.
애드블록 플러스(Adblock Plus)을 개발한 것으로 유명한 독일의 개발자 블라디미르 팔란트가 1월9일 라온시큐어의 키보드 보안 프로그램 touchen-nxkey의 보안 취약점을 공개했습니다.
결론: 해커맘대로 브라우저에서 코드 실행가능하고 키로깅 탈취 가능하다. 치는거 다볼수있다.
암호화? 드라이버 직접 접근해서 다 볼 수 있었다.
진짜 문제는 2022년 10월 4일에 취약점 리포트를 제출하였지만 라온시큐어 측에서 연락을 씹었다고 합니다.
90일간 유예를 줬는데도 아무런 조치를 취하지 않은 것이죠.
원문 - (And that’s it. The 90 days disclosure deadline was a week ago. TouchEn nxKey 1.0.0.78 was apparently released on October 4th, 2022, the same day I reported these vulnerabilities. At the time of writing it remains the latest release, and all the vulnerabilities described here are still present in it.)
작성자는 이후 23일, 3월 6일에 후속 글을 올린다고 합니다.
최신 글에서 글쓴이는 한국 회사에 직접 연락을 시도했지만 어떠한 연락도 받지 못했음을 밝히며,
보안취약점을 알려줬음에도 불구하고 이 취약점을 고치기 힘들것 같다며 우려하고있습니다.
i5-9400F, 16GB, RX6600 XT, SSD 850 pro 512GB, WD Blue 1TB, SSD 870 evo 4TB
Laptop
Microsoft Surface Pro 8 i5 16GB
Cellphone
SAMSUNG Galaxy Note 20 5G
APPLE iPhone 13 Pro Max 1TB (old)
SAMSUNG Galaxy S22U (old)
SAMSUNG Galaxy Z Fold 2 (bronze) (old)
SAMSUNG Galaxy Z Fold 2 (black) (old)
SAMSUNG Galaxy A52s (old)
SAMSUNG Galaxy Note 9 128GB (old)
SAMSUNG Galaxy Note 4 (old)
Tablet
LENOVO Legion Y700 (2023)
Headphones
-
Earphones
Samsung Galaxy Buds Pro
Samsung Galaxy Buds Live (old)
Samsung Galaxy Buds2 (old)
https://www.mk.co.kr/news/it/10599751
반박(?)기사는 나오긴 했습니다...
이에 대해 라온시큐어 관계자는 “해당 내용은 이미 작년에 KrCert를 통해 모두 전달받았고, 취약점을 보완하는 패치가 모두 이뤄진 상태”라며 “보완된 프로그램을 각 은행을 통해 배포하는 절차만 남겨놓은 상황”이라고 설명했다.
웃긴건 ... 아직 배포 안했다는 반박글임(?)
이거 은행사이트 들어가면 무조건 쓰게하던 그거 아닌가...ㄷㄷ