‘iLeakage’ 공격이 Apple Safari에 비밀번호를 노출시킬 수 있음

한 그룹의 학술 연구자들이 최근 Apple 기기에서 Safari 웹 브라우저를 통해 비밀번호 및 이메일과 같은 민감한 데이터를 추출할 수 있는 ‘iLeakage’라는 이름의 추측 실행 공격을 개발했습니다.

iLeakage는 Georgia Tech, 미시간 대학교 및 루르 대학교 보쿰의 학자 팀에 의해 Safari의 사이드 채널 저항력에 대한 광범위한 검토 후 개발되었습니다. 그들은 또한 사용자에게 위협에 대해 경고하는 논문과 웹사이트를 발표했습니다.

이 공격은 Apple Silicon CPU와 Safari 브라우저에 대한 추측 실행 공격의 첫 번째 시연입니다. 이 취약점은 2020년 이후 Apple의 Arm 기반 A 시리즈 및 M 시리즈 칩으로 제작된 Mac 및 iPhone에 영향을 미칩니다.

연구자들은 iLeakage를 구현하는 개념 증명 악성 웹사이트를 생성하여 iOS 및 macOS 장치에서 실행되는 Apple 네이티브 실리콘(A 시리즈 및 M 시리즈 CPU)의 사이드 채널 취약점을 악용하여 데이터 유출을 허용했습니다.

그들은 Safari의 사이트 격리 정책을 악용하여 공격자 페이지가 JavaScript window.open API를 사용하여 임의의 피해자 페이지와 주소 공간을 공유할 수 있는 새로운 기술을 시연했습니다.

브라우저 내 퇴거 세트를 구성하고 Safari의 타이머 완화 조치를 우회함으로써, 연구자들은 최종적으로 Apple의 압축된 35비트 주소 지정 및 값 오염 방지 대책을 추측형 타입 혼동을 사용하여 우회하여, 연구자들이 목표로 하는 Mac 또는 iPhone에서 비밀번호 및 이메일과 같은 민감한 데이터를 유출할 수 있게 되었습니다.

“따라서 우리는 window.open을 onmouseover 이벤트 리스너에 바인딩하는 공격자 페이지를 생성하여, 대상이 페이지에 마우스 커서를 올릴 때마다 주소 공간에서 임의의 웹 페이지를 열 수 있게 되었습니다.”라고 팀의 연구 논문은 말합니다.

“우리는 대상이 열린 페이지를 닫더라도 메모리의 내용이 즉시 지워지지 않기 때문에 우리의 공격이 비밀을 계속 공개할 수 있음을 주목합니다.”

iLeakage 공격은 동적 웹 콘텐츠를 제공하기 위한 두 프로그래밍 언어인 JavaScript와 WebAssembly를 사용하여 실행됩니다.

데모 비디오(1)(2)(3)에서 보여준 바와 같이, 연구자들은 iPad에서 실행되는 Safari에서 Gmail 메시지를 복구하고, LastPass 비밀번호 관리 서비스를 사용하여 Safari 웹 브라우저에 자동으로 채워진 Instagram 테스트 계정 비밀번호 및 Chrome for iOS의 YouTube 시청 기록을 복구할 수 있었습니다.

“우리는 공격자가 Safari가 임의의 웹 페이지를 렌더링하도록 유도하고, 이후 추측 실행을 사용하여 그 안에 있는 민감한 정보를 복구하는 방법을 보여줍니다.”라고 연구자들은 정보 웹사이트에 썼습니다.

“특히, 우리는 Safari가 악성 웹 페이지가 Gmail 받은 편지함 내용과 같은 인기 있는 고가치 대상의 비밀을 복구할 수 있도록 허용하는 방법을 시연합니다. 마지막으로, 자격 증명 관리자가 자동으로 채워진 경우 비밀번호 복구를 시연합니다.”

연구자들에 따르면, 이 결함은 Apple의 정책으로 인해 모든 iOS 브라우저에 영향을 미칠 가능성이 있습니다. Apple은 모든 서드파티 iOS 브라우저가 WebKit 엔진을 사용하도록 요구합니다. 다행히도, 이 추측 실행 공격은 높은 수준의 기술 지식을 요구하기 때문에 사이버 범죄자들에게 매력적이지 않습니다.

연구자들은 2022년 9월 12일 Apple에 취약점에 대해 통보했습니다. 그 이후로 회사는 사용자 보호를 위해 macOS에 대한 수동 완화 방법만 구현했다고 팀은 말합니다. 또한, 이 완화는 Safari를 실행할 때만 Mac에서 작동합니다.

Apple은 이 취약점에 대해 인지하고 있으며, 향후 소프트웨어 릴리스에 포함될 보다 영구적인 수정 사항을 보장합니다. 완화 방법을 활성화하는 방법에 대한 지침은 iLeakage 페이지를 방문하면 확인할 수 있습니다.

“Apple이 완화 방법을 생산에 배포하면, 우리는 사용자를 우리의 공격으로부터 완전히 보호할 것으로 기대합니다.”라고 팀에서 작업한 Georgia Tech의 박사 과정 학생 Jason Kim이 덧붙였습니다.

“우리는 Apple이 그들의 완화 방법이 브라우저 성능 벤치마크에 미치는 영향이나 완화 방법이 고객에게 배포될 시기에 대해 들은 바가 없습니다.”