이 취약점은 분실된 에어태그를 주인에게 다시 찾아주는 기능인 에어태그 분실 모드에서 시작된다. 분실 모드를 활성화하면, found.apple.com 웹사이트에 휴대폰 번호나 주소가 표시된다. 그런데 크렙스 온 시큐리티(KrebsonSecurity)에 따르면, 현재 분실 모드는 휴대폰 번호란에 임의의 컴퓨터 코드를 넣는 것을 제재하지 않고 있다. 이로 인해 에어태그 발견자는 아무런 의심 없이 피싱 사이트에 접속하게 된다.
가장 일반적인 위협은 아이클라우드 로그인 사이트를 모방해 사용자 이름과 비밀번호 입력을 유도하는 피싱 사이트 연결 코드를 추가하는 형태다.
이번에 발견된 에어태그 취약점은 새로운 현대판 범죄 시나리오라고 할 수 있다. 에어태그 추적기기가 범죄에 악용되면서 사용자를 피싱 사이트나 악성 소프트웨어를 몰래 끼워넣은 웹 사이트로 유도하는 데 악용된다.
보안 컨설턴트 바비 라우치는 지난 6월 최초로 버그를 발견했으며, 공격자가 분실된 에어태그를 찾은 최종 사용자에게 피해를 입힐 수 있는 방법이 무궁무진하다고 설명했다. 또한 몇 달 전에 애플에 연락해 이 사실을 알렸지만, 애플 연구원들은 지난주에야 에어태그 취약점이 최신 업데이트에서 해결될 것이라고 알려왔다고 밝혔다.
에어태그는 링이나 키 태그를 사용해 다른 기기에 연결할 수 있는 블루투스 추적 기기다. ‘나의 앱 찾기(Find My app)’에서 애플 기기가 아닌 다른 기기도 추적하고, 초광대역 무선기술로 한 치의 오차도 없이 정확하게 물건의 위치를 나타낼 수 있다.
라우치는 애플이 제공한 정보가 다소 미흡하다고 판단하고, 크렙스 온 시큐리티를 통해 직접 조사한 결과를 공개했다. 애플이 비공개를 요청했다는 소식도 함께 전했다. 또 다른 보안 연구원은 최근 애플이 문제를 제보한 자신을 언급하지 않고 제로 데이 공격(Zero-Day Attack)에 대한 iOS 취약점을 해결했다고 지적했다.
한편, 애플은 ‘보안 현상금(Apple Security Bounty)’ 프로그램을 운영해 결함과 취약점을 발견하는 사람에게 최대 100만 달러의 상금을 준다. editor@itworld.co.kr
“잃어버린 에어태그 찾아주려다 개인정보 털린다” 에어태그 보안 취약점 발견 - ITWorld Korea
Read More
No comments:
Post a Comment