To maximize internet freedom and convenience
인터넷 자유 증진과 사용자 편의성 개선을 위해 노력하는 클라우드 스토리지 및 파일 공유 플랫폼 Kioskloud 입니다.
금일 암호화된 콘텐츠 공유 링크를 비밀번호 없이도 복호화를 할 수 있는 취약점이 발견되어, 이를 조치하였음을 알려 드립니다.
이와 같은 조치로 인해 KioskDesktop는 다음 업데이트(REV 14)까지 정상 작동하지 않을 예정입니다.
이번 일로 불편을 겪으셨을 이용자 분들께 사과 드리며, 더욱 신뢰할 수 있는 플랫폼이 될 수 있도록 하겠습니다.
감사합니다.
문제 증상
암호화 된(비밀번호가 걸린) 공유 링크의 암호 문자열 자리에 임의의 문자열을 넣으면, 비밀번호 없이도 공유 링크가 복호화 되어 콘텐츠 원본에 접근할 수 있게 됨.
문제 원인
공유 링크 문자열 중 handle (콘텐츠 ID) 문자열과 암호 문자열을 대조하는 검증 프로세스가 비정상적으로 작동하였음을 발견.
조치 사항
- 해당 검증 프로세스 보수 등 암호화 로직 일부 개선.
- 기존에 발급된 공유 링크 포함하여, 암호화된 공유 링크는 공유자가 설정된 비밀번호 없이 복호화 불가능.
- 문제 증상과 같이, 정해진 암호 문자열 외 임의의 문자열을 입력하여 복호화를 시도하려 할 경우, "Cannot fetch the data of content." 경고문 나타나며 콘텐츠 접속이 제한됨.
유의 사항
- 공유 링크에 대한 암호화 로직의 일부 변경으로 인해, 현재 버전을 포함한 REV 13 이하의 KioskDesktop 데스크톱 어플리케이션에서는 모든 Kioskloud 공유 링크를 인식 못하게 됩니다.
- 이러한 제한은 KioskDesktop의 다음 업데이트(REV 14)에서 없어질 예정입니다.
