FREAK 결함: 알아야 할 사항.

이번 주 초, 한 연구팀에 의해서 중요한 보안 결함이 발견되었습니다, FREAK이라고 별명이 붙은 이것은, 안전한 웹 연결을 위협하고 민감한 정보를 노출시킬 수 있는 잠재성을 지닙니다. LastPass는 영향을 받을 정도로 취약하지는 않지만, LastPass 사용자들은 패치가 나오는 즉시 브라우저를 업데이트할 필요가 있습니다. 여기 알아야 할 사항들에 주의하십시오:

FREAK 결함이란 무엇인가?

FREAK 결함은 SSL/TLS를, 즉 귀하와 웹사이트간의 안전한 연결을 형성하는 프로토콜을 공격합니다. HTTPS로 연결하고 브라우저 주소창에 잠물쇠가 있으면 안전 연결이 형성됩니다. 이 “잠금”의 의미는 귀하의 개인 데이터가 웹사이트로 전송될 때 암호화된다는 뜻입니다.

FREAK은, 그러나, 중간자공격에 이용될 수 있습니다. 다음에 따르면: freakattack.com, “공격자들은 취약한 고객들[디바이스]와 서버들 사이의 It HTTPS 연결을 가로채서 취약한 암호를 이용하도록 하고, 그러므로서 민감한 데이터를 훔치거나 조작할 수 있습니다.”

FREAK 공격은 대부분의 주요 브라우저들을 대상으로 합니다:

  • 인터넷 익스플로러
  • 안드로이드 및 Mac OS 상의 크롬 – Mac OS에서 패치 이용가능
  • Mac OS 및 iOS 상의 Safari – 다음 주에 패치 나옴
  • Stock 안드로이드 브라우저
  • BlackBerry 브라우저
  • Opera (Mac OS, Linux)

귀하의 디바이스나 브라우저가 취약한지 알고 싶다면 다음을 방문하세요: https://freakattack.com. 프릭에 영향을 받은 Alexa의 상위 도메인들 목록도 제공되었습니다.

이것은 LastPass에 어떤 영향을 주는가?

LastPass 사용자들은 안전합니다. 저희 서버는 FREAK에 공격을 당하지 않았습니다. 언제나처럼, 고객님의 LastPass 볼트는 안전하고, 마스터 암호는 결코 전송되지 않습니다. LastPass는 또한 항상 안전하게 동기화하기 전에 AES-256를 이용하여 로컬에서 데이터를 암호화합니다. 이와 같은 취약성은 정확히 왜 우리가 고객님의 마스터 암호를 전송하지 않는 이유입니다.

LastPass 모바일 어플에서 내장 브라우저를 이용하는 사람들의 경우, 그들은 플랫폼의 기본 브라우저들을 이용합니다, 이것들은 영향을 받을 것이라고 알려졌습니다. 우리의 내장 브라우저들은 그 플랫폼들이 문제를 해결하면 업데이트될 것입니다. 그 동안, Firefox 모바일로 안전한 검색을 실행할 수 있습니다.

저희 모바일 어플 자체들과 저희 서버들 간의 커뮤니케이션은 취약하지 않습니다, 즉 그 모바일 디바이스들에서 우리 서버로 향하거나 서버에서 나오는 고객님의 볼트 데이터를 가로채는 것은 불가능합니다.

취해야 할 조치들:

시중에 나온 모든 패치들로 업데이트하기. Microsoft, Apple, 그리고 구글 모두 며칠 안으로 패치를 출시할 것입니다, 그러므로 이 패치들이 출시되면 시스템을 꼭 업데이트하십시오.

안전한 검색을 위해 Firefox 사용하기. 위에 공격당한 브라우저들을 위한 패치가 나올 때까지, 다음에서는 파이어폭스를 이용하는 것이 좋습니다: iOS, 기계적 인조 인간, 그리고 Mac OS. 그래야 안전한 웹 검색을 즐기고 고객님의 온라인 계정을 안전하게 지킬 수 있습니다.

취약한 암호들 변경하기. 공격을 당했을 것 같지 않더라고, 그리고 디비이스와 웹사이트들이 패치되었더라도 지금은 취약하게 보이는 모든 디바이스들에서 접근된 모든 계정들에 대한 암호를 변경하기에 좋은 시기일 수도 있습니다. 고객님은 또한 LastPass Security Challenge 로 암호의 보안도를 점검할 수 있습니다. 저희 자동 암호 변경 기능은 또한 암호들을 자동으로 교체할 수 있도록 해줍니다. 다양하고, 강력한 암호를 모든 웹사이트에 사용하는 것은 중요합니다, 그러면 한 웹사이트에서 훔친 암호를 다른 계정들로 로그인하는데 사용하는 것을 방지할 수 있습니다.

언제나처럼, 저희는 계속하여 이 상황을 주시하고 필요시 커뮤니티에 업데이트를 하겠습니다.