You are viewing a single comment's thread from:

RE: [스팀콘넥트의 위험성] 스팀페이 사용할 때 액티브 키 탈취하는 시연 영상

in #kr6 years ago

위에서 보여주신 QR코드 리더 앱의 사례는 충분히 발생할 수 있다고 봅니다.

  • 판매자가 상품 판매 링크를 구매자의 카톡으로 전달
  • 구매자는 PC카톡으로 링크 오픈
  • QR코드네? 하면서 늘 쓰던 본인 안드로이드 폰의 QR 코드 리더 앱 실행
  • 악의적인 목적으로 제작된 앱이라면, 크롬 등 브라우저로 링크를 열지 않고, 내장 브라우저로 링크를 오픈.
  • 시연처럼 사용자 입력값 탈취

아아아아주 작위적인 상황이긴 합니다만...

하지만 이것이 스팀커넥트의 보안 이슈라고는 생각하지 않아요. 악성코드가 삽입된 앱은 늘 존재할 수 있기 때문에 사용자가 주의해서 사용할 수밖에요.

스팀페이의 보안 이슈라고도 보기 힘들죠. 이미 스팀페이를 사용할 정도로 암호화폐 경험에 익숙한 사용자라면 사파리나 크롬을 열고 해당 브라우저에 카메라 권한을 부여해서 QR코드를 읽을테니까요. 단지 걱정은 QR코드를 보고 자동적으로 리더앱을 실행해버리는 분들이 있다면 탈취 가능성이 있다 정도?

스팀페이에선 믿을만한 브라우저로 QR코드를 읽으라고 사용자 경고를 주는 게 좋을 것 같네요. 스팀커넥트에선 이미 웹페이지 주소를 확인하라는 경고를 띄워주니까요.

만일

  • QR 코드에 스팀페이 피싱 사이트를 연결하고
  • Pay via SteemConnect 버튼에는 스팀커넥트 피싱 사이트를 연결

하면 마스터키 탈취가 쉽지 않을까요? 모든 사용자가 웹페이지 주소를 확인하면서 사용하지는 않으니까요. 특히 스팀페이나 스팀커넥트에 익숙해진 사용자라면... 으으 저부터 조심해야겠습니다.