간만에 공유기 감지 화면이 뜨길래 분석해 봤습니다. 통신사에서 이미 RTC의 취약점을 이용해 사설 아이피를 알아낸다는 사실은 알고 있었는데 그래픽카드 정보까지도 수집하고 있었네요?
그래서 코드를 살펴보니 역시나 webgl을 사용해서 알아내고 있었네요. 다른곳도 아닌 통신사에서 왜 그래픽카드 정보가 필요한걸까요? VMware SVGA로 잡히기라도 하면 제한을 풀어주려는 것이려나요? 그거 말고는 필요가 없을것 같은데 말이죠.
간만에 공유기 감지 화면이 뜨길래 분석해 봤습니다. 통신사에서 이미 RTC의 취약점을 이용해 사설 아이피를 알아낸다는 사실은 알고 있었는데 그래픽카드 정보까지도 수집하고 있었네요?
그래서 코드를 살펴보니 역시나 webgl을 사용해서 알아내고 있었네요. 다른곳도 아닌 통신사에서 왜 그래픽카드 정보가 필요한걸까요? VMware SVGA로 잡히기라도 하면 제한을 풀어주려는 것이려나요? 그거 말고는 필요가 없을것 같은데 말이죠.
기기 특성을 최대한 구체적으로 파악해서, 사용중인 기기가 몇 대인지 확인하려는 거죠 뭐...
수집하는 놈도 문제지만, JS에서 저렇게 구체적인 하드웨어 사양을 알 수 있다는 것부터가 일종의 보안취약점인데
브라우저 개발사들은 화려한 신기술에 꽂혀버려서 그다지 관심이 없는 것 같습니다.
저는 저 체크에 사용되는 아이피를 아예 방화벽으로 막아버렸더니
최초 접속시 몇 초 지연되기는 하지만 그래도 기기 정보 유출 없이 넘어가긴 하더군요.
가상머신을 여러 개 돌리다 보니, 막지 않으면 하루에도 몇 번씩 기기수 초과 안내가 뜹니다. ㅋㅋㅋ
그런데 그 과정에서 허접한 리다이렉트가 들어가는 바람에
네이버 블로그 같은 곳은 수동으로 주소를 https로 바꿔주지 않으면 메인화면으로 가버리네요 ㅠ
구글 검색하다가 네이버 블로그가 나오면 바로 클릭하지 않고 주소를 복사한 후
https로 바꿔서 새 탭에 붙여넣는 것이 이제는 아예 습관이 되어버렸습니다.
빨리 모든 사이트에 https가 적용되어서 저딴 트릭이 통하지 않았으면 좋겠습니다.
HTTPS Everywhere 플러그인을 사용하니 평소 방문하는 사이트의 90% 이상은 처음부터 https로 들어가지만
아직 몇 군데 제대로 적용되지 않은 곳이 남아 있어요.
위에서 말씀드린 네이버 블로그는 분명 https 지원하는데 왜 HTTPS Everywhere가 처리를 못해주는 건지...