지난 월요일, Sudo Security Group CEO인 Will Strafach가 블로그를 통해 공개한 내용에 따르면 버그가 존재하는 앱들이 1천 8백만 기기에 다운로드될 수 있는 상황으로 조사됐다. 이름이 공개된 33개의 앱들 중 ‘Uconnect Access’는 사용자 이름과 암호가 유출되어 공격자가 사용자의 차량을 방해할 수 있다. ‘화웨이(Huawei) HiLink’는 장치 데이터를 유출할 수 있고, ‘Cheetah Browser’는 사용자의 지리적 위치 데이터 및 키 입력을 유출시킬 수 있다. 중간자 공격의 중간 혹은 높은 위험등급이 주어진 40개 이상의 앱에서는 공격자는 금융 또는 의료 서비스 자격증명을 가로챌 수 있다. 해당 앱에 대한 정보는 개발자가 문제를 해결하는데 2~3달 정도의 비공개 기간이 적용된다.
Strafach는 와이파이를 사용하지 않을 때 사용자들은 더 안전하다고 말하며, "셀룰러 연결을 사용하는 동안 취약점은 여전히 존재하지만 셀룰러 차단은 더 어렵고 값비싼 하드웨어가 필요하며 눈에 잘 뜨이고 미국에서는 불법이기 때문이다"라고 설명했다.
해당 버그가 존재하는 앱들은 잘못 구현된 네트워킹 코드에서 앱이 암호화된 연결을 설정하기 위해, 어떤 인증서도 받아들일 수도 있다는 문제가 있다. 취약한 기기 근처의 공격자가 앱을 속여 자신의 인증서를 받아들이게 함으로써 앱과 주고받는 모든 데이터를 뽑아낼 수 있다. 설상가상으로 애플의 앱 전송 보안기능은 유효한 암호화된 연결이 되어 있기 때문에 공격자의 인증서를 차단하지 않는다.
Strafach는 애플이 이 문제를 해결하는데 도움을 줄 수 없다고 설명했다. 보안 결함을 차단하면 응용프로그램이 가짜 인증서를 사용해 보안기능인 인증서 피닝을 무시하기 때문에 iPhone 및 iPad 응용프로그램들이 보안이 취약해질 수 있다고 설명하며 그는 앱개발자가 취약한 상태인지를 확인하는 것은 앱 개발자 자신에게 달려있다고 주장했다.
★정보보안 대표 미디어 데일리시큐!★
