비교적 해킹에 안전하다고 알려진 iOS와 OS X 두 운영체제에 심각한 보안 구멍이 발견돼 사용자의 주의를 요하고 있습니다.
미국 인디애나 대학과 조지아 공과대학 연구진으로 이뤄진 공동 연구팀에 따르면, 악의적으로 제작된 앱이 애플 키체인과 다른 앱으로부터 사용자의 민감한 정보를 빼낼 수 있는 취약점이 발견됐습니다.
여러 외신들이 'XARA(Cross app across attack)' 익스플로잇의 일종인 이번 취약점을 주목하는 이유는 기존의 다른 보안 취약점과는 비교가 되지 않는 막강한 파괴력과 은신력을 지니고 있기 때문입니다.
이번 취약점은 한 앱이 다른 앱의 데이터에 접근하는 것을 차단하는 샌드박스 환경을 우회할 수 있을 뿐 아니라, 애플의 심사과정에서도 걸러지지 않아 앱스토어를 통해 무차별 배포될 가능성을 열어두고 있습니다. 실제로 연구진은 해당 코드를 이식한 앱을 테스트 삼아 애플에 제출했으며, 심사를 무난히 통과해 앱스토어에 성공적으로 등록되었다고 밝혔습니다.
* 사용자 키체인에서 아이크라우드 토큰을 갈취하는 과정
애플 기기에 악성 코드가 포함된 앱이 안착하면 헬퍼 앱을 통해 사용자 동의 없이 애플 키체인과 다른 앱으로부터 민감한 정보를 빼낼 수 있습니다. 애플 키체인은 웹사이트와 응용 프로그램 이용을 돕기 위해 각종 로그인 데이터와 사용자 신원, 신용카드 정보, SSL 웹서버 인증서 등을 보관하는 일종의 디지털 금고이며, OS X과 iOS 운영체제와 매우 밀접하게 연동됩니다. 따라서 키체인을 털리면 사용자의 모든 개인정보가 낱낱이 노출되는 셈입니다.
또한 애플 키체인 외에도 OS X에 내장된 메일 앱을 비롯해 구글 드라이브와 에버노트, 1패스워드, 드롭박스, 페이스북, 트위터 등으로부터 로그인 정보와 앱 내부 데이터를 수집할 수 있는 것으로 알려졌습니다. 단 데이터 수집을 넘어 원격 서버로 데이터를 전송할 수 있는지는 아직 알려지지 않았습니다. 이번 소식을 접한 1패스워드 제작사 '애자일비츠'는 애플이 대책을 마련하지 않는 이상 응용 프로그램 단에서 이 취약점을 막을 방법은 없다고 지적하고 있습니다.
* 에버노트 내부에 접근해 데이터베이스를 빼내는 과정
연구진에 따르면 이 취약점은 작년 10월에 발견됐으며 애플과 구글에도 통보된 상태라고 합니다.
그런데 구글은 크롬 브라우저에서 키체인 연동을 제거하는 등의 노력을 기울였지만, 정작 당사자인 애플은 아무런 대응도 하고 있지 않은 실정이라고 연구진은 지적했습니다. 애플로부터 올해 2월까지 대책을 강구한다는 답변을 받았으나, 네 달이 지난 지금까지 응답이 없었다는 겁니다. 이에 취약점의 상세한 내용을 담은 보고서를 온라인에 공개하게 됐다고 설명했습니다.
여러 외신이 확인한 바에 따르면, 최근에 나온 OS X 요세미티 베타 버전은 물론 차기 운영체제인 OS X 엘 카피텐도 이 취약점의 영향권 아래 놓여 있있습니다. 더불어 이번 취약점에 대한 사용자의 각별한 주의를 당부하는 한편, 애플이 보안 패치를 내놓을 때까지 신뢰할 수 없는 소스나 개발자가 제공하는 앱을 가급적 멀리할 것을 권장하고 있습니다.
참조
• The Register - Apple CORED: Boffins reveal password-killer 0days for iOS and OS X
• 9to5mac- Major zero-day security flaws in iOS & OS X allow theft of Keychain and app passwords
관련 글
• 애플, OS X 긴급 보안 업데이트 배포... 'NTP 원격코드 실행 취약점 해결'
• 'OS X 요세미티' 관리자 권한 탈취하는 심각한 보안 취약점 발견
• 애플, OS X 요세미티 10.10.2 버전에서 '썬더스트라이크' 보안 취약점 수정
from Back to the Mac http://ift.tt/1GZ85gI
via IFTTT