구글이 "아이폰 취약성을 악용하는 사이트가 2년간에 걸쳐 개인정보를 훔쳤다"라고 지적

 

 

 

구글이 "아이폰 취약성을 악용하는 사이트가 2년간에 걸쳐 개인정보를 훔쳤다"라고 지적

 

 

 

구글 사이버 보안 연구팀 "Project Zero"가 iPhone을 살며시 해킹할 수 있는 악질적인 웹 사이트를 다수발견했다고 보고했습니다.

 

 

Implant Teardown

Malicious websites silently hacked into iPhones for years – TechCrunch

 

 

 

2019년, Google Project Zero내에 존재하는 위협해석 그룹(TAG)이 악질적인 공격자에 의해 해킹된 웹 사이트 군을 발견했습니다. 이 웹 사이트는 iPhone으로 존재한 제로데이 취약성을 채용하고, 사이트 방문자에 대하여 무차별하게 "물 마시는 장소형 공격"을 장치한 것 같습니다.

 

해킹된 웹 사이트 군은 무차별하게 방문자를 공격해, 이 사이트에 액세스 하는 것만으로 취약점 공격 서버가 단말을 공격하고, 공격이 성공했을 경우는 단말을 감시하기 위한 말웨어가 인스톨됩니다. 한편, 해킹된 사이트는 주에 몇천명이나 되는 사용자가 액세스한 것 같습니다.

 

 

 

 

TAG에 의하면, 해킹된 사이트 공격은 iOS 10(2016년9월 출시)부터 iOS 12.1.2까지 거의 모든 버전의 iOS를 대상으로 한 공격을 장치하고, Apple 순정 웹 브라우저 Safari에 관련되는 취약성 7개, 커널에 관한 취약성 5개, 샌드 박스를 우회하는 취약성 2개, 합계 14종류의 취약성을 채용했다고 합니다. TAG는 "이 공격은 특정한 커뮤니티의 iPhone 사용자를 해킹하기 위해서 계속적인 대처를 하는 해킹 그룹의 존재를 시사, 적어도 2년간에 걸쳐 공격이 있었습니다"라고 이야기했습니다.

 

TAG는 해킹된 악질적인 웹 사이트가 활용하는 취약성을 특정하고, Apple 소프트웨어 개발팀에 알린 모양. 한편, 이 취약성은 정확하게 동작하지 않는 코드나 QA를 스킵한 코드, 구현전에 테스트나 리뷰가 대부분 실행되지 않은 코드 등에 존재했다고 합니다. 공격자는 여라 취약성을 이용해서 단말 root 권한을 취득하고, 비밀리에 악의가 있는 앱 등을 인스톨할 수 있었다고 합니다.

한편, 악질적인 해킹된 웹 사이트는, 주로 5종류의 취약점 공격을 이용해서 사용자 단말을 공격해 옵니다. 이하 그래프 세로축에는 공격 대상이 된 단말이, 가로축 위에는 공격 대상이 된 iOS 버전 및 취약점 공격의 종류, 가로축 밑에는 공격이 실행된 시기가 표시.

 

 

 

 

Project Zero 분석에 의하면, 해킹된 악질적인 웹 사이트가 이용하는 취약점 공격은 사용자 단말 사진이나 메시지를 피하고, 위치 정보를 거의 실시간으로 추적하기 위해서도 사용된 것. 또, 취약점 공격은 사용자의 비밀번호가 보존된 지역에도 액세스할 수 있었다고 합니다.

또, 해킹된 악질적인 웹 사이트가 활용된 제로데이 취약성은, 2019년2월7일에 전송된 iOS 12.1.4에 의해 수정되었다고 합니다.

 

애플이 root 권한을 취득할 수 있는 취약성을 발견한 보안 연구자에 대하여 지불되는 보장금을 100만달러까지 증가시켰습니다. 이 새로운 보장금 프로그램은 2019년 후반에 시행될 예정입니다. Project Zero는 취약점 공격 체인으로부터 복수의 취약성을 발견했기 때문, Google측은 몇십억원의 보장금을 받는 자격이 있습니다.