애플, iCloud의 iDict 관련 취약점 패치

애플, 해커가 누구의 계정에든 접근할 수 있게 했던 iCloud의 구멍을 패치하다

애플은 iDict 도구가 사용자 비밀번호를 무차별 대입하여 iCloud 사용자 계정에 해킹할 수 있게 했던 iCloud 서비스의 취약점을 수정했습니다. iDict 도구는 그 제작자인 Pr0x13이 모든 iCloud 사용자 계정을 해킹할 수 있다고 주장하며 새해 첫날에 발표하였고, 여기 GitHub에서 사용할 수 있습니다.

iDict는 애플의 보안에서 구멍을 이용하여 사용자 비밀번호를 반복적으로 추측하게 하여, 해커가 충분한 시간만 있으면 어떤 계정이든 접근할 수 있게 했습니다. Pr0x13은 이 버그가 “고통스럽게도 명백하다”고 주장하며, 해커나 사이버 범죄자들이 발견하는 것은 “시간 문제일 뿐”이라고 말했습니다.

Pr014는 애플의 iCloud의 결함이 비밀번호, 보안 질문, 심지어 2단계 인증과 같은 보안 시스템을 우회하는 데 사용될 수 있다고 밝혔습니다. iDict는 일반적으로 사용되는 비밀번호 목록을 통해 사용자의 비밀번호를 추측하여 올바른 비밀번호에 도달하는 방식으로 작동했습니다. 애플은 이러한 “무차별 대입” 공격을 차단하지만, iDict가 악용할 수 있는 보안의 구멍이 있었던 것으로 보입니다.

애플 엔지니어들은 이 결함을 해결하기 위해 초과 근무를 하여 속도 제한기를 구현했습니다. 현재 시행 중인 속도 제한기 기능은 iCloud 계정에 3회 이상 접근하려는 사용자를 차단합니다. Pr013은 애플이 구멍을 패치했다는 메시지를 받았고, 트위터에 글을 올렸습니다. 그는 사용자가 iDict를 사용하지 말라고 경고했습니다. 그렇게 되면 테스터가 자신의 iCloud가 잠기는 결과를 초래할 수 있습니다.

iDict는 패치되었습니다. 계정이 잠기기를 원하지 않으면 사용을 중단하세요 #TheMoreYouKnow — ! ? (@pr0x13) 2015년 1월 2일

애플은 2013년 해커들이 여러 할리우드 유명인의 iCloud 계정에 해킹하여 4Chan과 같은 인기 이미지 게시 사이트에 개인 사진을 유출했을 때 iCloud와 관련된 논란에 휘말렸습니다. 이러한 유출 사건은 애플이 iCloud 저장 서비스에 2단계 인증을 구현하도록 강요했습니다.

Pr0x13의 도구 발표와 애플의 속도 제한기 패치 사이의 시간대에 누군가 iCloud의 결함을 악용했는지는 두고 볼 일입니다.