구글, 악성 웹사이트가 수년간 아이폰을 조용히 해킹해왔다고 밝혀

구글, 악성 웹사이트가 수년간 아이폰 해킹에 비밀리에 사용되었다고 밝혀

구글의 보안 연구원들은 최소 2년 동안 아이폰을 해킹하기 위해 설계된 악성코드를 배포하는 해킹된 웹사이트의 일련을 발견했습니다. 이 웹사이트들은 매주 수천 번 방문되었으며, 아이폰 제로데이 취약점을 사용하여 방문자들을 광범위하게 공격하는 데 사용되었습니다.

웹사이트를 방문하는 것만으로도 해커들이 사용자의 아이폰에서 연락처, 이미지 및 기타 데이터를 은밀하게 수집할 수 있었습니다.

“올해 초 구글의 위협 분석 그룹(TAG)은 해킹된 웹사이트의 소규모 컬렉션을 발견했습니다. 해킹된 사이트들은 방문자들에 대한 무차별적인 워터링 홀 공격에 사용되었으며, 아이폰 0-day를 사용했습니다.”라고 구글의 프로젝트 제로의 이안 비어가 목요일에 발표된 블로그 게시물에서 썼습니다.

“대상 차별이 없었습니다; 해킹된 사이트를 방문하는 것만으로도 공격 서버가 귀하의 장치를 공격할 수 있었고, 성공하면 모니터링 임플란트를 설치했습니다. 우리는 이 사이트들이 매주 수천 명의 방문자를 받는다고 추정합니다.”라고 게시물은 덧붙였습니다.

올해 초, 구글의 위협 분석 그룹(TAG)은 해킹된 사이트를 발견하면서 비밀 해킹 작전을 발견했습니다.

조사 중에 구글의 TAG는 다섯 개의 익스플로잇 체인에서 총 14개의 iOS 취약점을 발견했습니다: 아이폰의 웹 브라우저에 대한 7개, 커널에 대한 5개, 그리고 두 개의 별도의 샌드박스 탈출 중 하나는 제로데이였습니다. 이 그룹은 “iOS 10부터 iOS 12까지 거의 모든 버전을 포함하는” 다섯 개의 익스플로잇 체인을 발견했습니다.

대부분의 보안 결함은 애플 기기의 기본 웹 브라우저인 사파리 내에서 발견되었다고 비어는 언급했습니다. 영향을 받은 아이폰은 아이폰 5s부터 아이폰 X까지 다양합니다.

구글에 따르면, 악성코드가 사용자 아이폰에 성공적으로 설치되면, 임플란트는 iMessages, 사진 및 실시간 GPS 위치를 포함한 방대한 양의 데이터에 접근할 수 있습니다. 또한, 아이폰 사용자의 키체인에도 접근할 수 있으며, 이는 비밀번호와 iMessage와 같은 종단 간 암호화 메시징 앱의 데이터베이스를 안전하게 저장하는 기능입니다.

악성 소프트웨어는 매 60초마다 도난당한 데이터를 “명령 및 제어 서버”로 전송하고, 이 정보를 외부 서버로 다시 전달합니다.

임플란트는 인스타그램, 텔레그램, 왓츠앱과 같은 암호화된 메신저 앱에서 데이터를 수집할 수 있으며, Gmail 및 Hangouts와 같은 구글 앱에서도 데이터를 수집할 수 있습니다.

다행히도, 이 악성코드는 비지속적이라고 하며, 이는 감염된 아이폰이 재부팅될 때 제거된다는 것을 의미합니다. 이러한 시나리오에서 “공격자들은 장치에 대한 접근을 잃은 후에도 키체인에서 도난당한 인증 토큰을 사용하여 다양한 계정 및 서비스에 대한 지속적인 접근을 유지할 수 있습니다.”라고 비어는 언급했습니다.

임플란트가 애플 기기에 저장되지 않기 때문에, 소유자가 “손상된 사이트”를 방문할 때 해커에게 다시 접근할 수 있다고 비어는 경고했습니다.

구글은 2월에 애플에 공격 사실을 알렸으며, 애플은 이후 iOS 12.1에 대한 보안 패치를 출시했습니다.

“우리는 2019년 2월 1일 애플에 이 문제를 7일 기한으로 보고했으며, 이는 2019년 2월 7일 iOS 12.1.4의 비정기적 출시로 이어졌습니다.”라고 비어는 말했습니다.

애플은 구글의 발견 사항을 동반하는 지원 문서에서 공개했습니다.

애플 기기가 이 결함으로부터 보호되도록 하려면, 기기가 최신 버전의 iOS를 실행하고 있는지 확인할 것을 권장합니다. 현재 사용 가능한 최신 업데이트는 iOS 12.4.1입니다.