usemoslinux에서 훌륭한 기사를 발견했습니다. 연례 Pwn2Own 콘테스트에서 크롬을 제외한 모든 브라우저가 어떻게 떨어졌는지에 대한 내용입니다! 복사해서 붙여넣기합니다:
단 하나만이 살아남을 수 있으며, 이 경우에는 Google의 주력 브라우저였습니다. iPhone, Safari, Explorer, 심지어 신성한 Firefox까지 모두 세계 최고의 해커들의 손에 완벽하게 넘어갔으며, 이들은 매년 캐나다에서 만나 현재 가장 유명한 시스템을 해킹하고 보안 결함을 지적하기 위해 노력합니다. 하지만 세계 최고의 컴퓨터 전문가들의 공격을 견뎌온 크롬을 보호하는 매우 강력한 ‘샌드박스’ 모드를 뚫지는 못했습니다.
매년 밴쿠버에서 열리는 CanSecWest 보안 박람회에서 열리는 Pwn2Own 대회는 세계 최고의 컴퓨터 보안 전문가들이 모든 종류의 최신 장치와 소프트웨어에 대해 마음껏 경쟁할 수 있는 완벽한 환경을 제공합니다. 해마다 참가자들은 조사 대상 시스템의 보안 장애물을 우회하는 데 성공하지만, 단 한 건의 결함도 없이 대회 끝까지 살아남는 영광을 누리는 참가자는 극소수에 불과합니다.
빈센초 이오조와 랄프 필립 바인만은 현재 가장 인기 있는 기기를 바보로 만드는 데 단 20초밖에 걸리지 않았습니다. 해커들은 (탈옥되지 않은) iPhone이 이전에 개발한 사이트에 접속하도록 하여 전체 SMS 데이터베이스(삭제된 것 포함)를 서버로 복사했습니다. 해커들은 이러한 침해를 방지하기 위한 Apple의 노력에도 불구하고 “코드 서명을 구현하는 방식이 너무 관대하다”고 주장했습니다. 그들은 이 인텔리전스 시연으로 15,000달러를 받았으며, Apple이 보안 결함을 수정하는 즉시 액세스 세부 정보를 공개할 것입니다.
독립 보안 평가업체의 수석 보안 분석가인 찰리 밀러는 물리적인 접근 권한 없이 Snow Leopard가 설치된 MacBook Pro에서 Safari를 해킹하는 데 성공하여 10,000달러를 벌었습니다. 이 노련한 이벤트 전문가는 매년 애플 소유의 기기를 해킹하는 데 성공합니다. 애플의 동향을 꿰뚫고 있다고 생각할 수 있습니다. 애플이 그를 고용해 제품의 보안 결함을 완전히 종식시킬 수 있는지 알아보는 것도 나쁘지 않을 것입니다.
독립 보안 연구원인 피터 브뢰그덴힐은 인터넷 익스플로러 8을 해킹한 대가로 같은 금액을 받았으며, 이는 더 이상 누구도 놀라지 않을 정도로 모든 전문가의 공격에 잇따라 희생되는 버전입니다. 브뢰그덴힐은 IE8을 해킹하기 위해 브라우저에 대한 공격을 막는 데 도움이 되는 ASLR(주소 공간 레이아웃 무작위화)과 DEP(데이터 실행 방지)를 우회하는 4가지 공격에서 두 가지 취약점을 악용했다고 주장했습니다. 다른 시도와 마찬가지로 브라우저가 악성 코드를 호스팅하는 사이트를 방문했을 때 시스템이 손상되었습니다. 이 버그로 인해 컴퓨터에 대한 권한이 부여되었고, 그는 컴퓨터의 계산기를 작동시키는 것으로 이를 시연했습니다.
파이어폭스는 또한 마이크로소프트의 밤잠을 설치게 하는 브라우저 취약점을 이용해 10,000달러를 벌어들인 MWR 인포시큐리티의 영국 연구 책임자 닐스의 교활함에 무릎을 꿇을 수밖에 없었습니다. 닐스는 메모리 손상 취약점을 악용했다고 주장했으며, 모질라의 구현 결함 덕분에 ASLR과 DEP도 극복해야 했습니다.
그리고 마지막으로 유일하게 살아남은 브라우저는 Chrome이었습니다. 지금까지 무패 행진을 이어가고 있는 유일한 브라우저로, 2009년 캐나다에서 열린 이 이벤트에서 사용자에게 소프트웨어 취약점을 경고하기 위해 이미 달성한 바 있습니다. “Chrome에 결함이 있긴 하지만 익스플로잇하기는 매우 어렵습니다. 샌드박스 모델을 설계했기 때문에 익스플로잇하기가 매우 어렵습니다.” 올해 맥북 프로에서 Safari를 제어하는 데 성공한 유명 해커 찰리 밀러는 이렇게 말했습니다.
보시다시피….firefox는 이제 또 하나의 브라우저 중 하나에 불과합니다. 이전 게시물(이동 수단으로서의 브라우저)에서 크롬이 최고가 아니라고 말씀하신 분들께는 어떤 점이 마음에 드셨나요?