애플, 유명인 사진 해킹 및 유출 후 iCloud 보안 취약점 패치

여배우 제니퍼 로렌스와 다른 할리우드 유명인들의 개인적이고 누드 사진이 온라인에 유출된 다음 날, 애플은 해커들이 iCloud 계정에 접근할 수 있게 했던 보안 취약점을 패치한 것으로 보입니다.

이 취약점은 코드 호스팅 사이트인 Github에서 노출된 것으로 보도되었습니다. 개발자들은 애플의 “ Find My iPhone ” 기능이 비밀번호를 하나씩 시도하여 올바른 비밀번호를 찾는 이른바 무차별 대입 공격에 의해 손상될 수 있다는 것을 발견했다고 합니다. 그로 인해 해커들은 사용자의 Apple ID를 알아내고 그들의 iCloud 저장소에 접근할 수 있었을 것입니다. Github는 애플이 이 문제를 해결했다고 전했습니다.

그러나 이것이 로렌스와 20명의 다른 할리우드 유명인들의 사진을 해킹할 수 있게 한 동일한 보안 결함인지, 또는 유일한 결함인지는 불확실합니다.

이전 게시물에서 언급했듯이, 일부 사진은 서로 다른 장치에서 온 것으로 보이며 오랜 기간에 걸쳐 축적되었을 수 있습니다.

CNET 수석 편집자 댄 아커먼은 “ 한 사람이 아닐 수도 있고, 여러 사람일 수도 있으며, 이 사진들은 몇 달 또는 몇 년에 걸쳐 모아진 것일 수 있습니다, ”라고 말했습니다.

4chan과 Reddit 웹사이트의 온라인 게시물에 따르면, 해커가 그들의 클라우드 기반 저장소에 침입했을 때 100명 이상의 유명인 사진이 노출되었지만, 독립 뉴스 기관들은 오직 20명의 유명인 사진만이 친밀한 자세로 유출되었을 수 있다고 밝혔습니다.

“ 헝거 게임 ” 스타 제니퍼 로렌스의 다양한 노출 단계의 사진이 온라인에 나타났고, 여배우 메리 엘리자베스 윈스테드, 모델 케이트 업튼 등의 개인 사진도 포함되었습니다. 로렌스의 대변인은 이 게시물이 “명백한 사생활 침해”라고 말하며 “ 당국에 연락했으며 제니퍼 로렌스의 도난당한 사진을 게시하는 사람은 누구든지 기소할 것입니다. “라고 전했습니다.

윈스테드와 업튼은 자신들의 도난당한 사진이 진짜라고 인정했지만, 다른 두 피해자인 가수 아리아나 그란데와 니켈로디언 스타 빅토리아 저스티스는 자신들에게 게시된 사진이 가짜라고 말했습니다.

애플은 월요일에 iCloud 서비스에서의 보안 침해가 유출의 원인인지 “적극적으로 조사 중”이라고 밝혔습니다.

“ 우리는 사용자 프라이버시를 매우 중요하게 생각하며 이 보고서를 적극적으로 조사하고 있습니다, ”라고 애플 대변인 나탈리 케리스가 Recode에 전했습니다.

아직 알려지지 않은 공격자는 한 가지 유리한 점이 있었습니다 => 애플은 무제한 비밀번호 추측을 허용합니다. 일반적으로 시스템은 잘못된 비밀번호로 시스템에 로그인 시도할 수 있는 횟수를 제한하여 계정이 완전히 잠기도록 합니다. 애플은 이후 이 취약점의 해당 측면을 수정했습니다.

“ 공격자들은 무제한으로 추측할 수 있도록 허용되어서는 안 되었어요, ”라고 킨들룬이 말했습니다.

애플의 iCloud와 공격 간의 직접적인 증거는 없지만, 사건의 시점은 보안 연구자들이 iCloud 보안에 관한 주제로 발표한 것과 일치하는 것으로 보입니다.

**

iBrute 프로그램은 러시아의 보안 연구자들에 의해 개념 증명으로 만들어졌으며, 이달 초 상트페테르부르크에서 열린 보안 회의에서 발표의 일환으로 시연되었습니다.