암호화 되지 않은 앱, 데이터 유출 위험 있어

안드로이드 앱에 비해 비교적 암호화가 갖춰져 있지 않은 iOS 앱

Masque Attack 통해 암호화 되지 않은 데이터 유출 가능해

[보안뉴스 민세아] 사용자들이 많이 사용하는 인기 앱에서 암호화되지 않고 저장되는 데이터가 유출될 수 있다는 사실이 드러났다. 이 사실은 애플 iOS 운영체제 기기를 대상으로 한 마스크 공격(Masque Attack)을 통해 밝혀졌다.

해당 공격은 Enterprise Provisioning 형태로 USB 또는 무선 통신으로 유포되며, 탈옥하지 않은 iOS에도 감염되므로 사용자의 주의가 필요하다.

보안 전문업체 트렌드마이크로에 의하면 애플 iOS 기기에서 Masque Attack을 통해 정당히 설치한 앱의 비암호화된 데이터의 유출을 실험했다. 애플 측은 앱 개발자들의 테스트를 위해 Provisioning File에 기기를 등록하여 앱스토어에 앱을 등록하지 않고 테스트 할 수 있게 했다.

Masque Attack은 설치된 후, 정상 앱과 동일한 번들 ID를 가진 악성 앱을 설치하는데 번들 ID가 동일해 추가 인증 없이 정상 앱을 악성앱으로 대체하는 공격 방법을 말한다.

테스트에 사용된 앱은 메시지/통신 관련 앱으로써 이름 및 연락처와 같은 민감한 정보를 저장하고 있다. 또한, 중국에서 많이 사용되는 이메일 앱에서도 암호화 되지 않아 보내는 메시지의 내용을 그대로 확인할 수 있다.

▲메시지 앱에서 암호화 되지 않은 메시지 저장

▲암호화 없이 사용되는 중국의 이메일 앱

End-to-End 암호화(종단 간 암호화)를 적용한 앱에서는 이런 취약점이 존재하지 않지만, iOS 앱은 안드로이드 기반의 앱 보다 암호화가 적용된 앱이 많이 부족하다. 비교적 마켓에 앱을 등록하기 쉬운 안드로이드 앱에서는 End-to-End 암호화를 적용한 앱들이 많이 있으나, iOS 앱은 해당 기능이 많이 갖춰져 있지 않은 실정이다.

▲안드로이드 기반의 중국 동일 메신져 앱의 데이터 암호화

이와 관련한 보다 자세한 사항은 아래의 출처를 확인하거나 한국인터넷진흥원 인터넷침해대응센터 홈페이지를 참고하면 된다.

[출처]

1.http://blog.trendmicro.com/trendlabs-security-intelligence/the-other-side-of-masque-attacks-data-encryption-not-found-in-ios-apps/#more-64183

2.http://www.networkworld.com/article/2847857/mobile-security/u-s-government-issues-alert-about-apple-ios-masque-attack-threat.html

3. http://www.wired.com/2014/11/whatsapp-encrypted-messaging/

[용어설명]

Masque Attack : 보안업체 FireEye에서 명명한 iOS의 프로파일 설치 취약점을 타깃으로 한 멀웨어

Enterprise Provisioning : 애플의 검토를 받지 않고 iOS 기기에 자체 개발 한 앱을 설치 할 수 있는 방법

Provisioning File : 코드 인증 및 디바이스 인증을 담당하는 프로파일

[민세아 기자(boan5@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)