2015년 2월 24일 화요일

COMODO Privdog 3 버전에 SSL hijacker 취약점 [해결됨]

[문제 제기]

레노버 Superfish의 논란중 하나는 어떠한 이유로 다수에 웹 보안 인증서를 레노버에서 제공하는 특정 인증서로 교체를 하여 통신을 유지한다는 내용입니다.

레노버 Superfish 삭제방법 및 적용모델 (Liverex블로그 - Superfish에 대한 정보)
http://liverex.net/3100 

이점에 있어서 Privdog 특정 버전에서 비슷한 행위를 한다는 제보가 있었습니다.

* 문제를 처음으로 제기한 블로그
Adware Privdog worse than Superfish
https://blog.hboeck.de/archives/865-Adware-Privdog-worse-than-Superfish.html

* 본 주제와 관련하여 참고 - 꿈을 꾸는 파랑새님 블로그
COMODO Privdog Superfish처럼 애드웨어 의심동작 문제
http://wezard4u.tistory.com/3235
 
* 해당 주제를 논하는 COMODO 포럼게시물
Komodia superfish and Privdog vulnerability "ssl hijacker"
https://forums.comodo.com/general-security-questions-and-comments/komodia-superfish-vulnerability-ssl-hijacker-merged-t109881.0.html


[COMODO 답변]

PrivDog Security Advisory (Threat level: LOW) Advisory Date: 02/23/2015
http://privdog.com/advisory.html

개인이 발급한 인증서에 대해 경고를 보이지 않는 취약점이 존재. 본 취약점은 최근 버전에서 해결되었습니다.

HTTPS Proxy…..the insight..what you didn’t know (COMODO CEO Melhi 블로그)
https://www.melih.com/2015/02/25/htpps-proxy-the-insight-what-you-didnt-know/

요약은 HTTPS을 감시하는 방법중 하나인 HTTPS Proxy 기술을 Privdog에 적용하여 사용중이며 이 기술은 기본적으로 HTTPS패킷을 보기위해서는 Local에 RootKey 설치가 필요합니다. 이 기술은 다수의 보안업체에서 현재 사용중이라 합니다.

* 본 이슈에 대해 정리가 잘된 기사
SSL-busting adware: US cyber-plod open fire on Comodo's PrivDog
http://www.theregister.co.uk/2015/02/24/comodo_ssl_privdog/


[Privdog3 버전에 대한 사용 정보]

PrivDog 3.0.0.96 업데이트 및 사용법
http://4savit.blogspot.kr/2015/01/privdog-30096.html

Privdog3은 웹브라우저마다 해당 프로그램을 설치하는 방식이 아닌 드라이버를 이용해 다수에 웹브라우저를 하나에 프로그램으로 감시하며 악성 Adware를 차단(COMODO에서 제공하는 광고로 전환) 및 개인정보 보호등에 기능을 합니다. 

* 정확한 정보는 연결된 게시물을 참고하십시오.
 
 
[아래의 글은 사견입니다]

"기술 자체가 잘못된 것, 기술을 적용하는 과정에서 취약점이 발생한것, 기술을 악용한것, 기술과 사용자간에 호환성 부족"

Privdog는 이 기술을 ADware로 악용을 했는가? 기본 설정은 위험한 광고를 안전한 광고(COMODO에서 제공하는)로 전환시키지만, 사용자는 Privdog 설정에서 광고 자체를 차단하게 할수 있습니다.

기술 자체가 잘못된것이라면 이를 사용하는 다수의 보안업체 또한 질타를 받아야 하며 기술적 개선이 함께 이루어 져야 합니다.

기술을 적용하는 과정에서 취약점이 발생한것에 대해 Privdog 개발자 쪽에서는 인정하였으며 취약점을 수정한 버전으로 자동업데이트를 진행중입니다.


기술(기능) 사용 여부를 사용자가 선택 할수 없었던 점에 대해서는 차기 버전 3.1 에서는 사용자가 설정 할수 있습니다.

댓글 3개:

  1. 저도 코모도 포럼에서 최신 버전을 내려받아 쓰고 있었는데, 이번 사태를 보고 깜짝 놀랐습니다. 취약점 인지 후 바로 언인스톨 하긴 했는데... 취약점 고쳐진 최신 버전으로 다시 깔 엄두는 안나네요. 확실히 저 취약점이 해결 된건가요? 그리고 취약점이 해결 되었다면 안전한건가요? 블로그 주인장께서는 깔아서 쓰고 계신가요?

    답글삭제
    답글
    1. Privdog3이 Firefox에서 케쉬 관련 버그가 존재하여 사용을 하지 않고 있었습니다. 현재까지 취약점이 해결된 버전은 보이지 않고 있습니다. (버그가 해결된 버전이 나온다면 사용해 보겠습니다.)

      "안전한 프로그램은 존재하지 않습니다.안전을 향해 걸어가는 존재만 있을뿐입니다." 사견입니다.

      삭제
  2. PrivDog 3.108.0 배포 정보 (취약점이 해결된 버전)
    http://4savit.blogspot.kr/2015/02/privdog-31080.html

    사용해 보겠습니다.^^

    답글삭제