세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
애플, iOS 기기의 잠금 화면 우회 취약점 패치
  |  입력 : 2018-10-10 10:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
애플 팬이라고 자칭하는 한 유튜버, 잠금 화면 우회 방법 공개
애플은 두 가지 취약점 패치해 이를 해결...보이스오버와 퀵뷰 기능이 핵심


[보안뉴스 문가용 기자] 애플이 현지 시작으로 지난 월요일 iOS 기기들에 대한 패치를 발표했다. 최근 한 유튜버를 통해 공개된 ‘아이폰 잠금 화면 우회 취약점’을 손본 것이다.

[이미지 = iclickart]


아이폰 혹은 아이패드 등의 잠금 화면을 우회할 수 있다는 것은 스스로 아이폰 열성 팬이라고 부르는 호세 로드리게즈(Jose Rodreguez)가 알아낸 것으로, 이 인물은 과거에도 이미 몇 차례 videosdebarraquito라는 유튜브 채널을 통해 아이폰 패스코드 우회 기술을 선보인 바 있다.

잠금 화면을 우회하려면 기기에
1) 물리적으로 접근할 수 있어야 하며
2) 기기의 시리(Siri) 기능이 활성화 되어 있어야 하며
3) 페이스ID(Face ID) 기능은 해제되어 있어야 한다.

이 세 가지 조건이 딱 맞는다면 공격자는 시리를 통해 시각 장애자들을 돕기 위한 보이스오버(VoiceOver) 접근 기능을 활성화하라고 명령할 수 있다. 보이스오버는 시각 장애를 가진 사용자들에게 화면에 출력된 내용과, 선택된 버튼의 내용을 읽어주는 기능이다.

그런 후 공격자는 공격하려는 폰의 화면에 ‘메시지(Messages)’ 아이콘이 나타나도록 만들어 알림 창이 뜨도록 한다. 그렇게 하면 숨겨진 버튼과 기능이 포함된 흰 색 페이지를 호출할 수 있게 된다. 보이스오버가 이 기능들을 읽어가도록 하면서 공격자는 연락처와 사진에 접근하는 게 가능하게 된다.

이 영상은 온라인 상에서 큰 인기를 끌었다. 이에 애플은 iOS 12.0.1을 발표해 이 문제를 해결했다. 그러면서 애플은 “(로드리게즈가 알아낸 공격법은) 두 가지 취약점의 결과물”이라고 설명했다.

하나는 CVE-2018-4380으로 보이스오버에 있는 것이다. “잠금 화면 상태에서 사진과 연락처에 접근하게 해주는 취약점으로, 이 부분을 패치했습니다.” 다른 하나는 CVE-2018-4379로 퀵룩(Quick Look) 기능에서 발견됐다. 애플에 의하면 “잠금 화면 상태에서 공유 기능에 접근할 수 있도록 해주는 취약점”이라고 한다.

즉 이번에 발표된 iOS는 두 가지 문제점을 패치한 채 나온 것이라고 볼 수 있다. 이 패치가 적용될 수 있는 기기는 아이폰 5s 및 그 이후에 나온 모든 아이폰 시리즈, 아이패드 에어 및 그 이후에 나온 에어 시리즈, 아이팟 터치 6세대라고 한다. 애플은 잠금 화면에서 발동될 수 있는 옵션을 크게 제한했다고 한다.

또한 애플은 윈도우 7.7용 아이클라우드를 함께 발표했다. 웹킷(Webkit)에서 발견된 19개 취약점들을 수정하기 위해서였다. 여기에는 메모리 변형, 임의 코드 실행, 다른 출처 요청(unexpected cross-origin behavior), 스크립트 실행, ASSERT 오류 등이 포함되어 있다. 이번 픽스는 윈도우 7 및 그 이후 버전들 모두에 적용 가능하다.

3줄 요약
1. 얼마 전, 한 애플 팬이 아이폰 잠금 화면 우회 방법을 유튜브로 공개.
2. 애플이 분석한 결과 두 가지 취약점 때문에 나타나는 것이었음.
3. 이 두 가지 취약점 모두 패치하고, 윈도우 7용 아이클라우드 취약점들도 패치.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술