애플 iOS 결함, 피싱 이메일로 사용자 ID와 비밀번호를 탈취할 수 있음

애플 iOS 시스템의 취약점으로 해커가 피싱 이메일로 사용자 ID와 비밀번호를 탈취할 수 있음

보안 전문가의 시연은 애플 iOS 시스템의 취약점을 이용하여 애플리케이션에서 원격 임의 HTML 콘텐츠를 로드하는 방법을 보여줍니다.

이번 주 초, 체코 연구원 Jan Soucek ( @jansoucek) 이 자신의 발견을 증명하기 위해 개념 증명(PoC) 코드와 비디오를 발표했습니다.

1월에 이 전문가는 iOS 이메일 클라이언트(Mail.app)가 이메일 메시지의 HTML 태그를 고려하지 않는다는 것을 발견했습니다. 이는 해커가 이메일을 열 때 원격 HTML 콘텐츠를 로드하도록 설계할 수 있게 합니다.

“이 UIWebView에서는 JavaScript가 비활성화되어 있지만, 간단한 HTML과 CSS를 사용하여 기능적인 비밀번호 ‘수집기’를 만드는 것은 여전히 가능합니다.”라고 Soucek은 말했습니다.

연구원이 발표한 비디오(아래 제공)는 해커가 수신자에게 iCloud 자격 증명을 입력하도록 요청하는 피싱 이메일을 어떻게 보낼 수 있는지를 보여줍니다. 피해자로부터 수집된 사용자 이름과 비밀번호는 해커에게 다시 이메일로 전송됩니다.

사용자들은 이러한 공격이 많은 인터넷 사용자에게 효과적일 가능성이 높다고 언급했습니다. 왜냐하면 그들이 iCloud 자격 증명을 입력하라는 요청을 받는 것은 드문 일이 아니며, 애플이 만든 진짜 대화 상자는 쉽게 재현될 수 있기 때문입니다.

Soucek은 GitHub에 iOS 8.3 “주입 키트”의 소스 코드를 게시했습니다. 이 전문가는 이것이 단지 취약점의 존재를 보여주기 위한 예시일 뿐이며, 자격 증명 수집뿐만 아니라 다른 공격에도 활용될 수 있다고 지적했습니다.

“이 취약점은 Mail.app에서 지원하지 않는 HTML 태그가 필요한 모든 것에 사용될 수 있습니다.”라고 Soucek은 설명했습니다.

연구원에 따르면, 1월에 그는 애플의 레이더 버그 추적 시스템을 통해 이 결함을 애플에 알렸습니다. 그러나 애플이 아무런 조치를 취하지 않자, 그는 이제 이 취약점을 공개하기로 결정했습니다.

비록 이번 주 애플이 첫 번째 iOS 9 베타 및 iOS 8.4 베타 4를 출시했지만, 이러한 버전이 취약점을 해결했는지는 불확실합니다. 결함이 수정되더라도, 이러한 버전은 현재 개발자만 사용할 수 있습니다.

독립 보안 분석가 Graham Cluley는 연구원이 발표한 코드가 신원 도용자와 악의적인 해커에게 잘 활용될 수 있다는 점에 모두의 주목을 끌었습니다.

“애플의 문제 해결에 대한 반응 부족에 대한 그의 불만을 이해할 수 있지만, Soucek은 잠재적 오용을 위한 익스플로잇 코드를 공개하기보다는 기술 미디어에 결함을 시연하여 회사에 압력을 가할 수 있었을 것입니다. 한편, 쿠퍼티노가 패치를 배포할 때까지는 메일 인박스를 탐색하는 동안 예상치 못한 팝업이 나타날 때마다 극도의 주의를 기울이거나 제3자 이메일 앱을 사용하는 것이 가장 현명할 것입니다.”라고 Cluley는 Tripwire를 위한 블로그 게시물에서 썼습니다.

Poc 비디오 :