보안 · 2 min read · Oct 22, 2025

해커가 Apple의 iPhone 및 iPad의 Masque Attack II 해킹으로 데이터를 훔칠 수 있습니다

Table Of Contents

  • Masque Attack II: 또 다른 주요 결함이 Apple iOS에서 발견되어 기업 사용자의 데이터 도난으로 이어질 수 있습니다.
  • Masque II : URL 탈취

Masque Attack II: 또 다른 주요 결함이 Apple iOS에서 발견되어 기업 사용자의 데이터 도난으로 이어질 수 있습니다.

2014년 11월, Fire Eye의 연구자들은 공격자가 SMS, 이메일 또는 웹 브라우징을 사용하여 진짜 앱을 악성 코드가 포함된 다른 앱으로 교체할 수 있는 “Masque Attack”을 식별했습니다. Apple은 iOS 8.1.3에서 이 문제를 수정한 것으로 보입니다. 이제 FireEye 연구자들은 Masque보다 두 배 더 위험할 수 있는 새로운 버그를 발견했습니다. FireEye 연구자들이 적절하게 명명한 Masque II는 이 버그가 iPhone과 iPad를 해킹하는 데 악용될 수 있다고 경고했습니다.

Masque II : URL 탈취

FireEye 연구자들은 Masque Attack II가 두 부분으로 구성되어 있다고 언급했습니다:

a) 신뢰 프롬프트 우회 및,

b) URL 스킴 탈취.

Hui Xue와 그의 연구팀은 iOS 8.1.3가 “프롬프트 우회”에 대해 강화되었지만 “iOS URL 스킴 탈취”에 대해서는 여전히 취약하다고 주장했습니다.

우리는 이를 간단한 용어로 이해해 보겠습니다.

  1. 신뢰 프롬프트 우회: 사용자가 SMS나 이메일 또는 Google Inbox의 링크를 클릭할 때마다; Apple iOS는 사용자에게 허가를 요청하지 않고 대상 기업 서명 앱을 실행합니다. 일반적으로 사용자가 App Store에서 특정 앱을 처음 다운로드하면 “신뢰” 또는 “신뢰하지 않음”을 묻는 프롬프트가 나타납니다. 이 경우 사용자가 URL 스킴을 통해 링크를 클릭했기 때문에 프롬프트 없이 앱이 직접 다운로드됩니다.

FireEye가 연구한 사례에서는 사용자가 이전에 명확히 “신뢰하지 않음”이라고 말한 신뢰할 수 없는 앱에 대해 iOS가 프롬프트를 무시하고 앱을 다운로드했습니다. Fire Eye는 이 문제를 Apple에 알렸습니다.

FireEye의 기사에 따르면: “공격자는 이 문제를 이용하여 Masque Attack을 포함하는 앱을 실행할 수 있습니다. 탈취자는 합법적인 인기 앱에서 사용하는 것과 동일한 앱 URL 스킴을 등록하는 기업 서명 악성 코드를 배포할 수 있으며, 따라서 합법적인 앱의 URL 스킴을 탈취하고 UI를 모방하여 피싱 공격을 수행할 수 있습니다. 예를 들어 로그인 자격 증명을 훔치는 것입니다.” Apple iOS는 공격이 프롬프트 수준에서 발생하기 때문에 사용자를 보호할 수 없습니다.

  1. URL 스킴 탈취: 이는 악성 코드 공격보다 기능 문제에 가깝습니다. Apple iOS는 서로 다른 개발자의 앱이 동일한 URL 스킴을 공유할 수 있도록 허용하는 것으로 나타났습니다. 다시 FireEye 연구자에 따르면: “공격자는 App Store에 ‘공격적인’ 앱을 게시하거나 기업 서명/애드혹 악성 코드를 제작 및 배포하여 합법적인 인기 앱의 URL 스킴과 동일한 앱 URL 스킴을 등록할 수 있습니다. 이를 통해 공격자는 합법적인 앱의 UI를 모방하여 피싱 공격을 수행하여 로그인 자격 증명을 훔치거나 두 개의 신뢰할 수 있는 앱 간에 공유될 데이터를 수집할 수 있습니다.” 이제 이를 간단히 설명하면 사용자가 합법적인 앱 대신 탈취자의 의도에 따라 악성 앱을 다운로드할 수 있으며, 이는 iPhone/iPad 사용자의 개인 및 재무 정보를 훔칠 수 있습니다.

FireEye 팀의 Hui Xue, Zhaofeng Chen, Song Jin, Yulong Zhang 및 Tao Wei에 따르면, iPhone 및 iPad 사용자는 Masque Attack II에 대해 더욱 주의해야 하며, 이는 아직 완화되지 않았습니다.

Apple iOS 사용자에게 제안된 가능한 해결책:

  • 가능한 한 빨리 장치를 8.1.3 버전으로 업데이트하십시오.

  • 사용자가 SMS, 이메일 또는 웹사이트에서 링크를 받을 때 주의하십시오. 이는 악성 코드를 다운로드할 수 있습니다.

FireEye는 Apple이 그들의 비공식적인 공개를 무시했기 때문에 이 취약점을 공개적으로 알렸다고 말합니다. 아래에서 개념 증명 비디오를 확인할 수 있습니다:

Share: X/Twitter LinkedIn
#보안

새 게시물을 받은 편지함에서 받기

스팸은 없습니다. 언제든지 구독 해지 가능합니다.