‘Freak’ 보안 결함으로 해커들이 수십 년 동안 iPhone 및 Android 사용자로부터 비밀번호와 개인 데이터를 훔칠 수 있었습니다.

iPhone, Android 및 Mac은 미국이 강력한 암호화 장치의 수출을 금지했기 때문에 백도어를 포함하고 있었습니다 #Freak 취약점

충격적이지만 사실인 것은, 전 세계의 Android, iPhone 및 Mac 사용자가 지난 10년 동안 해커들이 비밀번호 및 기타 개인 데이터를 훔칠 수 있는 보안 위험에 노출되었다는 것입니다. 이는 “강력한 암호화”를 포함하는 장치의 수출을 금지하는 미국 정책 때문입니다.

SmackTLS에 대한 보고서를 발표한 연구자들은 이 결함이 10년 동안 존재했으며, Google Inc.와 Apple Inc.가 현재 이 취약점을 수정하려고 하고 있다고 밝혔습니다.

INRIA, Microsoft Research 및 IMDEA의 암호학자 그룹은 OpenSSL(예: Android) 클라이언트와 Apple TLS/SSL 클라이언트(예: Safari)에서 심각한 취약점을 발견했습니다. 이 취약점은 ‘중간자 공격자’(MiTM)가 ‘강력한’ RSA에서 ‘수출 등급’ RSA로 연결을 다운그레이드할 수 있게 합니다. 연구자들은 이 결함이 미국 정부가 암호화된 장치가 미국 외부로 수출되는 것을 원하지 않았기 때문에 가능했다고 말합니다.

Whitehouse.gov, NSA.gov 및 FBI.gov와 같은 정부 웹사이트 및 전 세계의 많은 인기 웹사이트를 방문한 모든 Android, iPhone 또는 Mac 사용자는 이 결함에 노출되었습니다. 연구자들은 이 결함이 브라우저가 쉽게 깨질 수 있는 보안 표준을 수용하도록 강요하고, 그 결과 장치가 취약해졌다고 밝혔습니다. 장치가 취약해지면 사이버 범죄자에 의해 몇 시간 내에 탈취될 수 있습니다.

연구자들은 ‘수출 등급’ RSA로 인해 웹 브라우저 보안의 구멍이 개인의 비밀번호와 개인 데이터를 훔칠 수 있게 했다고 설명했습니다. 또한 대규모 공격을 통한 추가 착취의 문을 열었습니다.

Apple의 iOS 및 Mac용 Safari 웹 브라우저와 Google의 Android 기본 웹 브라우저에 영향을 미치는 이 보안 결함은 Chrome 및 Internet Explorer에는 영향을 미치지 않습니다.

워싱턴 포스트에 의해 처음 보고된 이 결함은 Apple이 다음 주 Safari 웹 브라우저의 업데이트에서 수정하고 있습니다. Google은 이미 Android 스마트폰 제조업체에 패치를 제공했다고 밝혔습니다. 그러나 Android 사용자에게는 문제가 많습니다. 그들은 스마트폰 제조업체가 패치를 발행하기를 기다려야 하며, 대부분의 대형 및 소형 제조업체는 이러한 패치를 출시하는 데 관심이 없는 것처럼 보입니다.

또한 Google은 WebView 구성 요소에 대한 패치를 Android 4.3 Jellybean 및 이전 스마트폰에 제공하지 않을 것이라고 밝혔습니다. 이 구성 요소는 기본 Android 브라우저의 중요한 부분을 형성합니다. 따라서 이러한 10억 대 이상의 스마트폰은 유통 중이라면 취약한 상태로 남아 있게 됩니다. Google은 이들에 대한 업데이트를 제공하지 않을 것입니다.

FBI.gov 및 Whitehouse.gov 웹사이트는 Cryptography Engineering에 따르면 수정되었으며, NSA.gov는 여전히 이러한 취약점에 노출되어 있습니다.