보안 연구원, 아이폰앱 가짜앱 바꿔치기 샌드재킹 공격 발표

[mgc6611님 曰]  애플 Xcode로 iOS 앱을 제작해 본 사람이라면 누구나 아는 버그죠. 이런 해킹이 이제야 발표된다는 게 신기할 정도네요. 


미국 모바일앱 보안회사 Mi3 시큐리티 수석 아키텍트 칠릭 타미르 연구원은 5월 26일 네덜란드에서 열린 핵인더박스(HITB) 보안 컨퍼런스에서 아이폰에 설치된 스카이프 앱을 가짜 스카이프 앱으로 바꿔치기 하는 시연을 발표했다.

과거에는 애플 iOS용 앱을 개발하려면 본인이나 사업자 인증을 하고 연회비 99달러의 개발자 아이디를 등록해야만 가능했다. Xcode는 애플이 제공하는 iOS 앱 개발용 SDK로 개발자 아이디로 로그인 해야만 다운받을 수 있다.  개발자는 Xcode로 제작한 앱을 애플에 제출해 심사받기 전에 자신의 iOS 기기에 인스톨해 테스트 할 수 있다. 또한 개발자 아이디 1개당 100개의 기기를 등록해 앱 설치와 테스트가 가능하다.

그러던 애플 정책이 바뀐 건 작년 6월이다. 애플은 개발자 컨퍼런스 2015를 통해서 앞으로는 애플 아이디만 있으면 누구든 맥 앱스토어에서 Xcode를 다운받아 iOS 앱을 자유롭게 제작할 수 있고, iOS 기기에 설치 및 실행이 가능하다고 발표했다. 단 정식 앱에 비해서 몇몇 기능이 제한된다. 이를테면 애플 페이, 아이클라우드, 앱 내 구매, 패스북 지갑, 푸쉬 알림 기능 등을 앱에 포함시킬 수 없다.

애플 심사를 받지 않아도 되고, 앱을 앱스토어에 등록할 필요가 없다는 점은 해커들로서는 눈이 번쩍 뜨이는 일이 아닐 수 없다. 타미르 연구원의 해킹은 여기서 비롯된다. 바뀐 정책을 이용하면  아이폰이나 아이패드를 공격자 맥에 연결하는 것만으로 악성 앱 설치가 가능하다. 게다가 애플 아이디만 있으면 누구든 악성앱을 제작과 실행이 가능해 익명성이 보장된다. 탈옥하지 않은 순정 기기에 설치가 가능해 의심을 덜 산다.

 

 

타미르 연구원은 지난 3월 31일 블랙햇 아시아 컨퍼런스에서 사용자 폰에서 흔적을 남기기 않고 민감한 정보를 빼내는 샌드재킹이라는 공격을 발표한 바 있다. 당시 그는 그가 직접 제작한 Su-A-Cyder라는 툴을 사용해 아이폰에 설치된 스카이프 앱을 가짜 스카이프 앱으로 바꿔치기 했다. 가짜 스카이프 앱에는 백도어 기능을 넣어 개인정보를 포함 스카이프앱에 사용되는 모든 데이터 접속이 가능했다.

그러고 나서 애플은 4월 8일 보안이 강화된 iOS 8.3 업데이트를 발표했고, 덕분에 기존 공격은 더 이상 적용되지 않는다. 이에 타미르 연구원은 해당 “문제점”을 보완하고 샌드재킹을 자동화 하는 새로운 샌드재커 툴을 제작해 이번 HITB 컨퍼런스에서 발표했다.

 

샌드재킹 공격 시연 동영상
샌드재킹 공격 시연 동영상 스크린샷.

 

타미르 연구원은 이번 샌드재킹 공격이 가능한 것은 iOS의 복원 절차의 문제점 때문이라고 설명했다. 아이폰을 백업한 후 합법적인 앱을 삭재하고, 가짜 앱을 인스톨한 다음 백업으로 복원하면 악성 앱이 삭제되지 않고, 공격자는 교체한 앱의 샌드박스로 접속이 가능하다는 것이다. 또한 iOS 9.0부터는 악용된 인증서를 식별해 취소하는 기능이 추가되었지만 그가 만든 툴로 새로운 인증서 생성이 가능하며 이러한 기능은 바이러스 백신으로도 탐지가 불가능하다고 말했다. 더군다다 애플은 iOS용 바이러스 백신을 허용하지 않기 때문에 바이러스 백신 자체가 없다고 덧붙였다.

타미르 연구원은 이 공격이 위험한 이유는 기존 설치된 앱으로 위장해 적발이 어렵고, 아이폰을 맥에 연결하는 것만으로 설치가 가능하고, 사용자 폰을 도청하고 개인정보를 빼내고 GPS 위치를 추적하는 등 PC를 대상으로 하는 기존의 모든 공격이 가능하기 때문이라고 말했다. 또한 이 공격을 막는 유일한 방법은 Xcode를 통해 설치된 앱의 인증서를 확인하고, 기기 권한 설정에서 개발자 아이디를 확인하는 것이라고 덧붙였다. 이 취약점은 지난 1월 애플에 보고되었지만 아직 패치되지 않았다.

작성자: HackersLab

1 comments

댓글 남기기

*