주요 애플 제로데이 보안 결함, 키체인 및 앱 비밀번호를 공격자에게 노출

TL;DR – 보안 연구원들이 Mac OS X 및 iOS에서 앱 데이터, 비밀번호 및 다양한 자격 증명을 훔치는 데 악용될 수 있는 심각한 제로데이 익스플로잇을 발견했습니다.

인디애나 대학교와 조지아 공과대학교의 6명의 보안 연구원 그룹이 iOS와 Mac OS X 모두에서 주요 애플 제로데이 보안 결함을 발견했습니다. 이 결함은 악성코드가 장치의 앱 자격 증명에 무단으로 접근할 수 있게 하여 공격자가 iCloud 비밀번호, 메일 앱 및 Google Chrome에 저장된 모든 웹 비밀번호와 같은 사용자의 민감한 데이터를 훔치는 데 도움을 줍니다. 요약하자면, 이 익스플로잇은 애플의 키체인과 제3자 앱을 포함한 다른 앱을 직접 노출시킵니다.

이 결함은 애플, 구글 크롬 등에서 확인되었습니다.

연구는 MAC OS X 및 iOS에서의 무단 교차 앱 리소스 접근이라는 제목의 논문에 발표되었습니다. 관련된 연구원들은: Xing; Xiaolong Bai; XiaoFeng Wang; Kai Chen과 함께 베이징 대학교의 Tongxin Li, 조지아 공과대학교의 Xiaojing Liao가 참여했습니다.

The Register의 보안 데스크와의 대화에서 팀은 이 취약점을 2014년 10월 애플에 알렸다고 언급했습니다. 그때 애플은 이 익스플로잇이 얼마나 심각한지 이해하고 있으며, 이 결함을 해결하고 일부 솔루션을 제공할 수 있는 6개월의 시간을 달라고 요청했습니다. 애플은 또한 연구원들에게 이 문제를 해결할 때까지 공개적으로 이 결함을 알리지 말라고 했습니다.

2015년 2월 애플은 팀에게 연구 논문의 사본을 미리 제공해 달라고 요청했습니다. 안타깝게도 연구팀은 최신 버전의 Mac OS X 및 iOS에서도 결함이 존재한다고 확인했으며, 따라서 이 취약점을 공개해야 했습니다.

Xing은 “우리는 비밀번호 및 기타 자격 증명을 저장하는 데 사용되는 키체인 서비스를 완전히 해킹했으며, OS X의 샌드박스 컨테이너와 OS X 및 iOS의 앱 간 통신 메커니즘 내의 새로운 약점을 식별했습니다. 이를 통해 Evernote, Facebook 및 기타 고급 앱에서 기밀 데이터를 훔칠 수 있습니다.”라고 말했습니다.

Xing은 또한 “우리의 악성 앱은 애플의 심사 과정을 성공적으로 통과하여 애플의 Mac 앱 스토어와 iOS 앱 스토어에 게시되었습니다. 우리는 비밀번호 및 기타 자격 증명을 저장하는 데 사용되는 키체인 서비스를 완전히 해킹했으며, OS X의 샌드박스 컨테이너와 OS X 및 iOS의 앱 간 통신 메커니즘 내의 새로운 약점을 식별했습니다. 이를 통해 Evernote, Facebook 및 기타 고급 앱에서 기밀 데이터를 훔칠 수 있습니다.”라고 덧붙였습니다.

연구팀은 또한 애플의 강력한 심사에도 불구하고 그들이 Mac OS X 및 iOS 앱 스토어에 취약점을 악용한 악성코드를 업로드할 수 있었다고 언급했습니다. 공격에 취약한 이 앱들은 두 운영 체제 모두에서 승인된 것으로 보입니다.

그룹은 또한 다양한 Mac 및 iOS 앱에서 이 익스플로잇을 테스트했으며, 결과는 끔찍했습니다. 거의 90%의 앱이 취약하며, 저장된 데이터뿐만 아니라 로그인 자격 증명에 대해서도 악성코드에 완전한 접근을 허용했습니다.

1Password 앱의 개발사인 AgileBits는 이 익스플로잇에 대해 앱을 보호할 방법을 찾을 수 없다고 인정했습니다. AgileBits의 Jeffrey Goldberg의 최근 블로그 게시물에서는 “우리도 Luyi Xing과 그의 팀도 이 문제를 해결할 완전히 신뢰할 수 있는 방법을 찾지 못했습니다.”라고 말했습니다.

보안 연구 그룹에 따르면, 구글의 크로미움 보안 팀은 더 반응이 빨랐으며 Chrome의 키체인 통합을 제거했습니다. 구글 크롬의 보안 팀은 또한 공격이 애플리케이션 수준에서 발생할 경우 익스플로잇에 대해 보호하는 것이 거의 불가능하다고 확인했습니다.

보안 연구 그룹은 또한 OS X에서 구글 크롬의 키체인 취약성을 노출한 비디오를 공개했습니다. (아래 비디오 확인)

The Register의 게시물에 대한 응답으로, Hacker News의 한 댓글은 악성코드가 기존 키체인 항목에 직접 접근할 수는 없지만, 사용자가 수동으로 로그인하도록 강요하고 새로 생성된 항목에 민감한 자격 증명을 캡처할 수 있으므로, 간접적으로 사용자의 민감한 데이터에 무단으로 접근할 수 있다고 제안했습니다.

보안 연구원들은 또한 “키체인 항목에는 접근 제어 목록이 있으며, 일반적으로 자신만 화이트리스트에 추가할 수 있습니다. 만약 내 은행 앱이 키체인 항목을 생성하면, 악성코드는 접근할 수 없습니다. 하지만 악성코드는 키체인 항목을 삭제하고 재생성할 수 있으며, 자신과 은행 앱을 ACL에 추가할 수 있습니다. 다음 번에 은행 앱이 자격 증명이 필요할 때, 나에게 다시 입력하라고 요청하고, 그러면 악성코드가 생성한 키체인 항목에 저장됩니다.”라고 말했습니다.

보안 연구원들은 모든 Mac OS X 및 iOS 사용자에게 알림을 주며, 알려지지 않은 개발자로부터 앱을 다운로드할 때 더욱 주의할 것을 권장합니다. iOS 및 Mac 앱 스토어에서 다운로드할 때도 마찬가지입니다. 또한 키체인으로 로그인해야 하는 경우 시스템이 여전히 사용자가 수동으로 로그인하도록 요청한다면, 이는 시스템에 문제가 있음을 경고하고 사용자에게 알림을 주어야 합니다.

이번 달 초 Mac BIOS/EFI 취약점이 공개되었으며, 이 익스플로잇은 공격자에게 Mac에 대한 영구적인 제어를 제공하며, 드라이브를 포맷해도 사용자가 공격자가 Mac에 접근하고 제어하는 것을 막을 수 없습니다.

이번 달에 발견된 또 다른 취약점은 iOS 메일 앱의 버그로, 이는 피싱 공격일 가능성이 있으며, 공격자가 사용자가 이메일을 열 때마다 원격 HTML 코드를 실행하여 iCloud 로그인 프롬프트를 모방하여 사용자가 Apple ID 자격 증명을 제공하도록 강요할 수 있습니다.

보안 연구원들은 일반적인 규칙으로 사용자가 절대 허용하지 말아야 한다고 강조합니다. 브라우저나 비밀번호 관리자가 온라인 뱅킹 자격 증명과 같은 민감한 로그인 정보를 저장하는 것을.

보안 연구원들은 또한 “이러한 공격의 결과는 파괴적이며, 가장 민감한 사용자 정보(예: 비밀번호)가 악성 앱에 완전히 노출되는 결과를 초래합니다. 이러한 발견은 […] 빙산의 일각에 불과합니다.”라고 언급했습니다.

그들의 논문에서 연구원들은 “이러한 보안 결함의 근본 원인을 살펴보면, 대부분의 경우 OS나 취약한 앱이 상호작용하는 당사자를 제대로 인증하지 못한다는 것을 발견했습니다. 근본적으로 문제는 앱이 기존 키체인 항목의 소유자를 인증하는 데 어려움이 있다는 것입니다. 애플은 이를 수행할 수 있는 편리한 방법을 제공하지 않습니다.”라고 언급했습니다.