해커가 애플 앱 스토어의 2846개 백도어 앱을 통해 당신의 iPhone/iPad에 완전 접근할 수 있습니다

연구자들이 해커에게 완전 접근을 허용할 수 있는 2846개의 iOS 앱에서 백도어를 발견하다

FireEye 연구자들은 애플 앱 스토어에 나열된 수천 개의 앱이 악의적인 행위자에게 민감한 사용자 데이터와 장치 기능에 대한 접근을 허용하는 백도어를 가지고 있다는 것을 발견했습니다. 이 연구는 FireEye의 보안 연구팀인 Zhaofeng Chen, Adrian Mettler, Peter Gilbert, Yong Kang으로 구성된 팀에 의해 수행되었으며, 오늘 그들의 웹사이트에 발표되었습니다.

연구자들에 따르면, 애플 보안 팀에 의해 검토되고 애플 앱 스토어에 나열된 수천 개의 iOS 앱이 이러한 백도어를 포함하고 있습니다. 연구자들에 따르면, 악의적인 앱은 애플 앱 스토어에 처음 게시된 수천 개의 iOS 앱에 내장된 광고 라이브러리의 잠재적인 “백도어” 버전을 가지고 있습니다.

연구자들이 발견한 놀라운 사실은 ‘잠재적인’ 백도어가 해커에 의해 원격으로 제어될 수 있었으며 원격 서버에서 JavaScript 코드를 로드하여 iOS 장치에서 다음 작업을 수행할 수 있었다는 것입니다:

• 오디오 및 스크린샷 캡처

• 장치 위치 모니터링 및 업로드

• 앱의 데이터 컨테이너에서 파일 읽기/삭제/생성/수정

• 앱의 키체인 읽기/쓰기/재설정 (예: 앱 비밀번호 저장소)

• 원격 서버에 암호화된 데이터 게시

• 장치에 설치된 다른 앱을 식별하고 실행하기 위해 URL 스킴 열기

• 사용자에게 “설치” 버튼을 클릭하도록 유도하여 비앱 스토어 앱을 “사이드 로드”하기

연구자들은 문제가 되는 광고 라이브러리가 mobiSage SDK의 버전이라는 것을 발견했습니다. 그들은 잠재적으로 백도어가 있는 광고 라이브러리의 17개 고유 버전을 발견했습니다: 버전 코드 5.3.3에서 6.4.4까지. 그러나 광고주인 adSage가 공개적으로 출시한 최신 mobiSage SDK인 버전 7.0.5에서는 잠재적인 백도어가 존재하지 않습니다. 잠재적으로 백도어가 있는 광고 라이브러리의 버전이 adSage에 의해 출시되었는지 아니면 악의적인 제3자에 의해 생성되었거나 손상되었는지는 불분명합니다.

11월 4일 현재, FireEye 연구자들은 잠재적으로 백도어가 있는 mobiSage SDK 버전을 포함하는 2,846개의 iOS 앱을 확인했습니다. 연구자들은 또한 백도어를 제어하기 위해 JavaScript 코드를 전달할 수 있는 adSage 서버에 연락하려는 900건 이상의 시도를 발견했습니다.

FireEye는 2015년 10월 21일에 영향을 받는 앱의 전체 목록과 기술 세부 정보를 애플에 통보했다고 말했습니다.

연구자들은 결함이 있는 앱이 실제로 악용되는 것을 발견하지는 못했지만, 잘못된 손에 들어가면 잠재적인 백도어를 유발하는 악의적인 JavaScript 코드가 게시되어 결국 영향을 받는 앱에 의해 다운로드되고 실행될 수 있다고 언급했습니다.