본문 바로가기
IT 보안소식

네이트온(NATEON), 4.1.10.0 (2290) 업데이트!!

by 잡다한 처리 2012. 5. 3.
반응형


국내에서 가장 많이 사용하고 있는 대표적인 메신저인 네이트온이 4.1.10.0으로 업데이트 되면서 아래와 같은 부분들이 보안되었다.
네이트온을 사용하는 사용자들은 아마 자동으로 업데이트가 되었을 것이다^^

혹시나 자신의 네이트온이 예전버전이라면 [네이트닷컴] 으로 이동하여 최신의 네이트온을 다운로드 받길 바란다. 

안녕하세요 네이트온입니다.
네이트온이 아래와 같이 업데이트 되었습니다.

4.1.10.0 (2290) 버전  
------------------------------------------  
1) 파일전송 보안 취약점 패치
2) 네이트온 파일 변조시 경고 제공 및 업그레이드 처리
3) 나에게 보내기 수정
4) 그룹대화 창닫기 메시지 변경
5) 공지사항 디자인 변경
-------------------------------------------

앞으로도 안정적이고 편리한 서비스를 만들도록 노력하겠습니다. 
감사합니다. 

네이트온 메신저가 보안에 많이 노출 되면서, 보안쪽의 업데이트도 꾸준하게 하고 있어서 사용자입장으로써 감사하게 생각한다.
앞으로도 좋은 메신저로 남길 바라며 버그인지 고의인지는 모르겠으나 의문점이 드는 부분이 있어서 이 글을 간략하게 써본다.

의문점이 드는 부분은 "2) 네이트온 파일 변조시 경고 제공 및 업그레이드 처리" 에 대한 내용이다.

많은 분들이 예전에 성행하였던, 네이트온을 이용한 피싱을 다들 알고 있을 것이다.
위의 내용들을 보면 악성코드 제작자들은 CKAppEx.dll 파일을 패치하여 네이트온의 로그인 계정을 가져간 후 악의적인 행위에 
이용하고 있다는 것을 알 수 있다.

또한 CKAppex.dll은 TouchEn Key Keyboard Protector for Applications 로써 키보드 보안과 관련 된 파일이다.
(예전꺼를 좀 확인하지면, CKAppex.dll 파일을 후킹하여 베이크 주소를 구하고, inline Patch를 실행하여 메모리에 사용자의
정보(아이디와 패스워드)가 담길 때 해당 값을 가져 간다)

그럼 해당 파일을 수정하면, '파일 변조로 인하여 경고가 제공되겠구나' 라고 생각을 하면서 테스트를 진행하였다.

기본적인 PE파일의 구조를 가지고 있는 CKAppEx.dll 파일의 처음 부분을 수정하였다.



아래와 같이 모두 0x00 으로 수정한 후에 네이트온을 실행하였다.



네이트온 실행이 성공적으로 이루어졌다......?!


결론적으로 해당파일은 중요한 파일이 아닌가?! 라는 생각이 들었다 ㅋㅋ
무슨 말이냐면, CKAppEx.dll 변조 되어도 로그인 보안에 문제가 생길 뿐, 네이트온을 사용하는데에는 문제가 없었기 때문이다.

테스트 할때에는 재현되었지만, 다시 재현이 안되는 문제가 한가지 있었다.
CKAppEx.dll 파일을 수정하여 로그인 하려고 했지만, 로그인이 아예 안되는 문제가 있었다.
재현이 안되어서 보여주지 못해 안타깝다..;;



내 개인적인 생각에는 해당 CKAppEx.dll 파일은 꽤 중요한 파일이라고 생각하기 때문에,  아래와 같이 경고창이 떠야 맞다고 본다!!


이에 관련 된 내용은 벌새님의 블로그에서 좀 더 자세하게 확인 할 수 있으니, 이동하여 보시기 바란다. 
 
이번 네이트온 업데이트에서 CKAppEx.dll의 문제는 버그인지 고의적으로 지나친 행위인지는 모르겠으나,
다음 패치때에는 꼭 고쳐줬으면 한다.


댓글