2015.04.29

2차 HTTPS 가로채기 결함 발생...”수천 개의 iOS 앱 보안 위협 노출”

Lucian Constantin | IDG News Service
해커들이 잘알려진 오픈소스 네트워킹 라이브러리의 취약점을 이용하여 2만 5,000개가 넘는 iOS 앱의 암호화된 트래픽을 몰래 가로챈다는 가능성이 제기됐다.

이 취약점은 iOS와 맥 OS X 앱 개발자가 HTTPS(SSL/TLS 암호화가 적용된 HTTP)를 적용한 웹 커뮤니케이션을 구현할 때 사용되는 라이브러리인 AFNetworking가 디지털 인증서의 도메인 이름을 확인하지 않는 것에서 기인한다.

이 결함은 서로 다른 도메인 이름에 대해 디지털 인증서로 애플리케이션을 증명하는 방식으로 이를 암호화하는 웹 서비스와 취약한 애플리케이션 사이에서 HTTPS 트래픽을 가로챌 수 있도록 허용한다. 이와 같은 중간자공격은 라우터를 해킹하거나 다른 방식을 통해 보안되지 않은 무선 네트워크를 통해 실행될 수 있다.

모바일 앱에서 서드파티 구성 요소의 사용을 추적하는 업체인 소스DNA(SourceDNA)에 따르면, 2만 5,000개가 넘는 iOS 앱이 잠재적으로 취약점에 노출돼 있는데, AFNetworking 2.5.2 이하 버전이 원인이다.

해당 취약점은 4월 20일 배포된 AFNetworking 2.5.3에서 수정됐다.

소스DNA의 블로그 게시물에 따르면, 인증서 피닝(Certificate Pinning)을 활성화한 앱은 취약점이 없으나, 이 메커니즘을 따르는 개발자는 소수에 불과한 것으로 알려졌다.

이번 취약점의 흥미로는 점은 HTTPS 스누핑을 허용한 또다른 취약점을 AFNetworking 2.5.2에서 수정한 지 하루 만인 지난 3월 25일 AFNetworking 개발자들에 의해 보고됐다는 점이다.

지난 2월 9일에 배포된 AFNetworking 2.5.1에만 HTTPS 스누핑 취약점이 발견됐으며, 해당 버전의 라이브러리를 사용한 10만 개의 iOS 앱 가운데 약 1,000개가 영향을 받았다. 최신 취약점 또한 오래된 버전의 라이브러리를 사용하여 웹 서버로의 HTTPS 연결을 시도하는 앱을 악용하고 있다.

소스DNA는 서치라이트(Searchlight)라는 온라인 서비스를 재정비하고, 사용자가 직접 자신의 기기에 설치된 iOS 앱이 취약점에 노출되어 있는지 확인할 수 있도록 서비스하고 있다. 이 서비스는 마이크로소프트, 야후, 구글과 같은 대기업의 개발자들이 만든 앱이 잠재적으로 AFNetworking 결함에 노출되어 있는지를 알려준다. editor@itworld.co.kr


2015.04.29

2차 HTTPS 가로채기 결함 발생...”수천 개의 iOS 앱 보안 위협 노출”

Lucian Constantin | IDG News Service
해커들이 잘알려진 오픈소스 네트워킹 라이브러리의 취약점을 이용하여 2만 5,000개가 넘는 iOS 앱의 암호화된 트래픽을 몰래 가로챈다는 가능성이 제기됐다.

이 취약점은 iOS와 맥 OS X 앱 개발자가 HTTPS(SSL/TLS 암호화가 적용된 HTTP)를 적용한 웹 커뮤니케이션을 구현할 때 사용되는 라이브러리인 AFNetworking가 디지털 인증서의 도메인 이름을 확인하지 않는 것에서 기인한다.

이 결함은 서로 다른 도메인 이름에 대해 디지털 인증서로 애플리케이션을 증명하는 방식으로 이를 암호화하는 웹 서비스와 취약한 애플리케이션 사이에서 HTTPS 트래픽을 가로챌 수 있도록 허용한다. 이와 같은 중간자공격은 라우터를 해킹하거나 다른 방식을 통해 보안되지 않은 무선 네트워크를 통해 실행될 수 있다.

모바일 앱에서 서드파티 구성 요소의 사용을 추적하는 업체인 소스DNA(SourceDNA)에 따르면, 2만 5,000개가 넘는 iOS 앱이 잠재적으로 취약점에 노출돼 있는데, AFNetworking 2.5.2 이하 버전이 원인이다.

해당 취약점은 4월 20일 배포된 AFNetworking 2.5.3에서 수정됐다.

소스DNA의 블로그 게시물에 따르면, 인증서 피닝(Certificate Pinning)을 활성화한 앱은 취약점이 없으나, 이 메커니즘을 따르는 개발자는 소수에 불과한 것으로 알려졌다.

이번 취약점의 흥미로는 점은 HTTPS 스누핑을 허용한 또다른 취약점을 AFNetworking 2.5.2에서 수정한 지 하루 만인 지난 3월 25일 AFNetworking 개발자들에 의해 보고됐다는 점이다.

지난 2월 9일에 배포된 AFNetworking 2.5.1에만 HTTPS 스누핑 취약점이 발견됐으며, 해당 버전의 라이브러리를 사용한 10만 개의 iOS 앱 가운데 약 1,000개가 영향을 받았다. 최신 취약점 또한 오래된 버전의 라이브러리를 사용하여 웹 서버로의 HTTPS 연결을 시도하는 앱을 악용하고 있다.

소스DNA는 서치라이트(Searchlight)라는 온라인 서비스를 재정비하고, 사용자가 직접 자신의 기기에 설치된 iOS 앱이 취약점에 노출되어 있는지 확인할 수 있도록 서비스하고 있다. 이 서비스는 마이크로소프트, 야후, 구글과 같은 대기업의 개발자들이 만든 앱이 잠재적으로 AFNetworking 결함에 노출되어 있는지를 알려준다. editor@itworld.co.kr


X