애플 macOS 카메라, 마이크 위험에 처해 있다고 연구원이 경고

맥 악성코드는 내장 카메라와 마이크를 사용하여 비밀리에 당신을 감시합니다

패트릭 워들(Patrick Wardle) 시넥(Synack) 연구 이사는 악성코드가 어떻게 쉽게 합법적인 사용자 주도 비디오 및 오디오 세션에 “피기백”할 수 있는지를 시연했습니다. 이는 macOS 장치의 웹캠과 마이크에 접근하여 감시 활동을 숨기는 것입니다.

이러한 기술을 가진 악성코드는 사용자 주도 웹캠 세션을 감지하고, 자신의 녹음을 시작하며, 합법적인 세션이 끝나면 즉시 종료해야 합니다. 그래야 카메라와 하드웨어 기반 LED 표시등이 꺼질 수 있습니다.

애플이 10년 이상 배송한 모든 맥북은 내장 카메라와 마이크가 장착되어 있습니다. 맥북에는 장치의 카메라가 활성화될 때를 나타내는 LED 불빛이 있습니다. 워들의 분석에 따르면, LED 표시등을 비활성화하는 하드웨어 보안은 매우 강력합니다. 그러나 사용자가 LED 불빛이 켜질 것으로 예상할 때 웹캠에 접근할 수 있는 합법적인 애플리케이션이 있습니다.

워들은 무단 애플리케이션을 사용하여 macOS 사용자를 그들의 지식 없이 추적하고 녹음할 수 있는지 확인하고자 했습니다. 카메라의 합법적인 사용에 피기백할 수 있는지 여부를 확인하기 위해서입니다. 결과적으로 웹캠은 macOS에서 공유 자원이라는 것이 밝혀졌습니다. 이는 사용자가 원할 경우 FaceTime과 Skype 비디오 애플리케이션을 동시에 사용할 수 있음을 의미합니다.

“기본적으로 모든 악성코드는 합법적인 웹캠 세션을 찾기 위해 macOS 시스템을 모니터링합니다.”라고 워들은 말했습니다. “악성코드는 그 후 웹캠에 접근하여 로컬 사용자를 녹음할 수 있습니다.”

그러나 워들의 공격 시나리오에는 몇 가지 제한 사항이 있습니다. 첫째, macOS 사용자는 카메라의 무단 사용을 허용하기 위해 어떤 출처에서든 악성코드에 감염되어야 합니다. 워들은 어떤 방식으로든 악성코드가 된 합법적인 macOS 앱의 사례가 있었다고 언급했습니다. 그렇다고 하더라도, 사용자가 애플 macOS 앱 스토어에서 서명된 애플리케이션을 다운로드한 경우 악성코드 감염의 가능성은 상대적으로 낮습니다.

“최근에 웹캠을 인식하는 macOS 악성코드가 증가했습니다.”라고 그는 말했습니다.

OS.X 엘리너(Eleanor) 악성코드는 7월에 처음으로 공개적으로 감지되었으며, 애플 사용자를 녹화하려고 했습니다. 그러나 워들에 따르면, 엘리너 악성코드에 의해 무작위로 녹화된 사용자들은 다른 애플리케이션이 먼저 카메라를 시작하지 않고도 스스로 켜진 맥북 LED 카메라 표시등을 가지고 있었습니다.

워들은 사용자가 장치의 카메라 LED 표시등이 스스로 켜지는 것을 더 쉽게 알아차릴 수 있어야 한다고 생각합니다. 이는 그들에게 무언가 잘못되었음을 알리는 것입니다.

“대신 이 기술을 사용하고 합법적인 사용을 기다린 후 사용자를 녹음했다면, 엘리너 악성코드는 쉽게 탐지를 피할 수 있었을 것입니다.”라고 워들은 말했습니다.

기존 애플리케이션에 피기백할 수 있는 능력은 애플이 수정해야 할 취약점이 아닐 수도 있다고 워들은 말했습니다. 그는 카메라를 공유 자원으로 두는 것이 의미가 있을 수 있다고 덧붙였습니다.

워들은 애플리케이션이 카메라에 처음 접근하려고 할 때 사용자에게 접근 권한을 부여할 것인지 묻는 팝업 대화 상자가 나타나는 iOS 사용자에게 제공되는 것과 유사한 macOS 도구를 원합니다.

“macOS가 카메라에 접근할 때 경고가 있는 iOS와 더 비슷해지기를 바랍니다.”라고 워들은 말했습니다. “그렇게 하면 시스템이 여전히 웹캠을 공유할 수 있지만, 악성코드가 어떻게든 시스템에 접근하려고 시도하면 접근 요청 팝업이 표시됩니다.”

애플은 아직 macOS에 대한 카메라 활동 표시기가 없지만, 워들은 마이크와 웹캠을 모니터링하고 사용자의 맥 카메라와 마이크가 켜질 때마다 알림을 주는 무료 도구인 OverSight를 만들었습니다.

OverSight는 내장 카메라에 접근하고 사용하는 모든 프로세스를 식별하고 인식하며 사용자가 이를 차단할 수 있도록 합니다:

현재 오디오와 관련하여 소프트웨어는 마이크가 활성화되었음을 식별하고 사용자에게 그 사실을 알릴 수 있습니다.

비밀 녹음을 차단하기 위해 카메라를 가리는 것은 항상 쉽지만, 마이크에 대해서는 같은 작업을 수행하는 것이 더 어렵습니다.

워들은 도구의 한계를 알고 있지만, 계속해서 개선할 것이라고 말합니다.

“모든 보안 도구와 마찬가지로, OverSight의 보호를 우회하려는 직접적이거나 능동적인 시도는 성공할 가능성이 높습니다.”라고 그는 언급했습니다.

“게다가 현재 OverSight 버전은 오디오 및 비디오 이벤트를 모니터링하기 위해 사용자 모드 API를 사용합니다. 따라서 커널 모드 또는 루트킷 구성 요소가 있는 악성코드는 웹캠과 마이크에 접근할 수 있을 것입니다.”

출처: eWEEK