2021-04-17 13:35 (토)
구글, 제로데이 공격 후 추가된 애플 iOS 보안 기능 분석
상태바
구글, 제로데이 공격 후 추가된 애플 iOS 보안 기능 분석
  • 페소아 기자
  • 승인 2021.02.02 18:16
이 기사를 공유합니다

구글 프로젝트 제로팀은 지난 목요일 메시징 앱에서 제로데이를 활용하는 최근 발견된 공격을 방어하기 위해 애플이 iOS 14에 추가한 새로운 보안 메커니즘에 대한 세부 사항을 공개했다고 더해커뉴스가 보도했다.

외신 보도에 따르면, 하드웨어 및 소프트웨어 시스템 제로데이를 연구하는 구글 프로젝트 제로 연구원 사무엘 그로스는 연구를 통해 확인한 아이메시지 데이터를 위한 향상된 샌드 박스 서비스를 BlastDoor라고 명명했다고 보도했다.

iOS 14의 주요 변경 사항 중 하나는 아이메시지에서 신뢰할 수 없는 데이터의 거의 모든 구문 분석을 담당하는 새롭고 긴밀한 샌드박스화된 BlastDoor 서비스의 도입이다. 게다가 이 서비스는 코드 베이스에서 고전적인 메모리 손상 취약점을 이용하기 어려운 메모리 안전 언어인 Swift로 작성되었다고 전했다.

이 서비스 도입은 작년 알자지라 언론인을 대상으로 이루어진 iOS 13.5.1의 보안 보호를 우회할 수 있는 아이메시지 제로 클릭 익스플로잇을 이용한 사이버 스파이 캠페인에 대한 후속 작업이다.

지난달에 공격을 공개한 시티즌랩 연구원은 "이 익스플로잇이 새로운 보안 보호 기능이 포함된 iOS 14 이상에서는 작동하지 않는다고 생각한다"고 말했다.

macOS 11.1을 실행하는 M1 Mac Mini와 iOS 14.3을 실행하는 아이폰 XS를 사용해 일주일간 리버스 엔지니어링을 통해 구현된 변경 사항을 분석한 그로스에 따르면 BlastDoor는 새로운 보안 보호의 핵심이다.

아이메시지가 도착하면 메시지는 여러 서비스를 통과한다. 그중 주요 서비스는 apsd와 imagent라는 백그라운드 프로세스이다. 이 프로세스는 메시지 내용을 디코딩 할뿐만 아니라 첨부 파일을 다운로드하고 알림을 표시하도록 스프링보드에 경고하기 전에 웹 사이트 링크를 처리한다.

BlastDoor는 안전한 샌드박스 환경에서 이러한 모든 인바운드 메시지를 검사하여 메시지 내부의 악성 코드가 나머지 운영 체제와 상호 작용하거나 사용자 데이터에 액세스하지 못하도록 차단한다. 다르게 말하면 대부분의 처리 작업을 imagent에서 이 새로운 BlastDoor 구성 요소로 이동하면 타깃으로 전송된 특수 제작된 메시지가 더 이상 파일 시스템과 상호작용하거나 네트워크 명령을 수행할 수 없다.

그로스는 “샌드박스 프로필은 매우 빡빡하다. 몇 개의 로컬 IPC 서비스에만 접근할 수 있으며 거의 모든 파일 시스템 상호작용이 차단되고 IOKit 드라이버와의 모든 상호 작용이 금지되며, 아웃 바운드 네트워크 액세스가 거부된다"고 설명한다.

더욱이 충돌 서비스의 후속 재시작을 지연시키기 위해 애플은 iOS launchd 프로세스에 새로운 제한 기능을 도입하여 공격자가 결함을 악용하기 위해 두 번의 연속적인 무차별 대입 시도 사이의 시간을 늘려 공격 시도 횟수를 기하급수로 늘리는 것을 제한했다.

그는 "이번 변경으로 서비스를 반복적으로 충돌시키는데 의존했던 익스플로잇은 이제 완료하는데 몇 분이 아니라 몇 시간에서 대략 반나절 정도가 필요할 것이다. 전반적으로 이러한 변경사항은 이전 버전과의 호환성을 고려할 때 수행할 수 있는 최선의 결과에 매우 가깝고 아이메시지 및 플랫폼 전체 보안에 상당한 영향을 미칠 것이다"라고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★