전체 기사

GrapheneOS가 Android 17로 포팅됨

GrapheneOS has been ported to Android 17

GrapheneOS가 Android 17 기반으로 포팅됨. 정식 배포가 곧 이어질 예정.

10k GitHub repositories가 Trojan malware를 배포하는 것으로 확인

I found 10k GitHub repositories distributing Trojan malware

10,000개에 달하는 GitHub 저장소가 Trojan 악성코드 유포에 사용된 정황이 확인됨. 오픈소스 생태계를 노린 대규모 공급망 위협 사례로 분류됨.

연구진: Fable 5는 '코드 고쳐줘' 프롬프트에 과민 반응, jailbreak는 아님

Feds freaked over Fable 5 after 'fix this code', not jailbreak, say researchers

연구진이 이번 사건은 jailbreak가 아니라 단순한 'fix this code' 프롬프트에 대한 과민 반응이었다고 설명. 연방 기관에서 우려가 커진 사례로 전해짐.

AMD는 소비자용 Ryzen CPU에서 메모리 암호화를 조용히 제거함

AMD silently removes memory encryption from consumer Ryzen CPUs

AMD가 최신 AGESA 펌웨어 이후 소비자용 Ryzen CPU에서 메모리 암호화 기능을 제거한 정황이 제기됨. 변경 내용이 명확히 공지되지 않아 사용자 보안 기능 저하 우려가 커짐.

Volkswagen이 GrapheneOS 사용자를 차단하기 시작

Volkswagen started blocking GrapheneOS users

Volkswagen 앱 또는 서비스가 GrapheneOS 기기에서 차단되는 사례가 보고됨. OS 식별 기반 접근 제한이 보안과 사용자 권한 측면에서 논란이 됨.

Wi-Fi 스마트 전구 안의 금서 도서관

Banned Book Library in a Wi-Fi Smart Light Bulb

스마트 전구 내부에 금서 콘텐츠를 숨겨 넣는 실험적 아이디어를 소개한다. 일상 디바이스를 우회적 저장 매체로 활용하는 방식이 핵심이다.

미국, DeepSeek 블랙리스트 지정을 보류하고 100개 이상 기업을 보안 위험으로 지정

US holds off blacklisting DeepSeek, more than 100 firms deemed security risks

미국이 DeepSeek의 블랙리스트 추가를 일단 보류함. 대신 100곳이 넘는 기업을 안보 위험으로 분류하며 대중국 기술 규제를 유지하는 흐름이 이어짐.

재미로 IIS 서버를 망신시키다, 그리고 감옥행

Humiliating IIS servers for fun and jail time

IIS 서버를 겨냥한 공격과 그 법적 결과를 다룬 보안 글. 장난 수준의 행위도 형사 처벌로 이어질 수 있음을 강조함.

Apple이 Hide My Email을 무력화할 수 있다는 지적

Apple is about to make Hide My Email useless

Apple의 향후 정책 변화가 Hide My Email의 실효성을 떨어뜨릴 수 있다는 우려가 제기됨. 이메일 마스킹과 프라이버시 보호 기능의 우회 가능성이 쟁점.

Rust와 C/C++에서 메모리 안전성 CVE가 다른 방식

How memory safety CVEs differ between Rust and C/C++

Rust와 C/C++에서 메모리 안전성 취약점이 보고되고 발생하는 양상이 어떻게 다른지 분석. 언어 차이로 인해 CVE 분포와 취약점 유형이 달라진다는 점을 비교.

JWTs 사용을 멈춰라

Stop Using JWTs

인증 토큰으로 JWT를 남용하지 말자는 주장. 상태 관리, 폐기, 보안 운영 측면에서 대안이 더 단순하고 안전할 수 있음을 시사함.

재미와 징역형을 부르는 IIS 서버 정찰

재미와 징역형을 부르는 IIS 서버 정찰

IIS 기본 화면과 응답 헤더, SSL 인증서, Google dork, Shodan을 활용해 노출 서버와 숨은 vhost를 찾는 정찰 기법을 다룸. HTTP/1.0 요청과 Host 헤더 브루트포싱은 내부 IP나 Exchange 호스트명 노출로 이어질 수 있어 위험성이 큼.

내 ID만 있으면 FIFA 월드컵 전체에 Rickroll을 틀 수 있었다

내 ID만 있으면 FIFA 월드컵 전체에 Rickroll을 틀 수 있었다

공개된 FIFA Agent Platform 가입만으로 Microsoft Entra 테넌트와 2026 FIFA World Cup 운영용 시스템 일부에 접근 가능한 취약점이 드러남. JWT의 NO_ROLES 상태를 프런트엔드만 검사하고 백엔드에서 역할 검증을 강제하지 않은 것이 원인.

미국, DeepSeek 및 보안 위험으로 분류된 100여 개 기업의 블랙리스트 등재 보류

미국, DeepSeek 및 보안 위험으로 분류된 100여 개 기업의 블랙리스트 등재 모두 보류

미국 정부가 DeepSeek와 CXMT 등 100여 개 중국 기업의 Entity List 등재를 보류 중. 대중 갈등 고조를 피하려는 트럼프 행정부 기조가 배경.

Volkswagen, GrapheneOS 사용자 차단 시작

Volkswagen, GrapheneOS 사용자를 차단하기 시작함

GrapheneOS 사용자들이 Volkswagen 앱에서 로그인 실패와 서버 연결 오류를 겪고 있음. 같은 계정이 stock Android와 iPhone에서는 정상 동작해, 앱이 Play Integrity API 및 기기 무결성 검사를 활용해 차단하는 정황이 드러남.

Rust와 C/C++의 메모리 안전성 CVE는 왜 다르게 집계되는가

Rust와 C/C++의 메모리 안전성 CVE는 왜 다르게 집계되는가

Rust와 C/C++의 CVE 숫자를 단순 비교하면 메모리 안전성 취약점 집계 방식의 차이를 놓치기 쉽다는 지적. C/C++는 API 오용과 UB가 사용자 코드 문제로 처리되는 경우가 많아 통계가 더 적게 잡힐 수 있음.

JWT 사용을 중단하라

JWT 사용을 중단하라

JWT는 로그인 상태 유지용으로 적합하지 않으며, 이 용도에는 일반 쿠키 세션이 더 맞는다는 주장. JWT는 짧은 수명의 토큰 전제를 따르며, 장기 세션과는 목적이 다르다.

연구자들 “Fable 5 논란은 탈옥이 아니라 ‘fix this code’에서 시작됐다”

연구자들 “Fable 5 논란은 탈옥이 아니라 ‘fix this code’에서 시작됐다”

Anthropic의 Fable 5, Mythos 5 접근 제한은 알려진 탈옥이 아니라 취약 코드에 입력한 “fix this code” 요청에서 비롯됐다는 주장이 제기됨. 가드레일 우회 경위와 보안 대응 방식이 논란이 됨.

GrapheneOS가 Android 17로 포팅됨

GrapheneOS가 Android 17로 포팅됨

GrapheneOS가 Android 17 공식 출시 일정에 맞춰 포팅을 완료했고, 공개 저장소에 코드를 푸시한 뒤 릴리스를 준비 중임. Android 16 QPR2 최종 빌드와 Android 17 초기 릴리스·공개 테스트도 순차 진행될 예정임.

curl의 행복한 여름

curl 행복의 여름

curl 프로젝트가 2026년 7월 한 달간 취약점 접수와 처리를 중단함. 유지관리자 휴식을 위해 HackerOne 제출 창구와 보안 이메일 접수를 잠시 닫음.

LinkedIn 채용 제안에 숨겨진 백도어

LinkedIn 채용 제안에 숨겨진 백도어

LinkedIn 메시지를 통한 리크루터 접근을 이용해 공개 GitHub 저장소 리뷰를 유도한 소셜 엔지니어링 공격 사례. 테스트 스위트로 위장한 코드에 백도어가 숨겨져 있었다.