iOS / 모바일 / 보안

아이클라우드 비밀번호 유출 가능한 애플 메일 앱 취약성 발견

Jeremy Kirk | IDG News Service 2015.06.12
애플 모바일 이메일 앱이 사용자를 속여 아이클라우드 비밀번호 유출에 악용될 수 있는 취약성을 지녔다는 주장이 제기됐다.

프라하의 보안 전문가 잰 수체크는 자신이 아이클라우드 로그인 팝업창처럼 보이는 HTML 코드로 다른 사람에게 이메일을 보낸 방법을 보여주는 개념 증명 코드를 기트허브에 공개했다. 이 방법을 통해 수체크는 비밀번호가 담긴 답장을 받았다.

이번에 밝혀진 취약성은 메시지 내용 대신 원격 HTML 콘텐츠가 이메일에 실리는 방식이다. 수체크는 이후 HTML과 CSS를 사용하는 비밀번호 수집기를 만들었다고 밝히며, 이를 시연하는 영상도 공개했다.

수체크는 1월에 버그를 발견해 애플에 알렸지만 iOS8.1.2에서 버그가 수정되지 않았다며, “그래서 개념 증명 코드를 공개한다”고 밝혔다. 애플은 공식적인 답변을 내놓지 않았다.

수체크는 익스플로잇 코드를 이용해 가짜 아이클라우드 인증 창이 한 번만 나타나게 해 불신을 낮췄다고 설명했다

지난 해 많은 유명인들의 아이클라우드 계정이 해킹된 후 애플은 보안을 강화하는 작업에 돌입했다. 사용자가 비밀번호를 잊어버렸을 때 애플이 제안하는 보안 퀴즈에 답을 입력하는 방법을 통해서 해커들이 사용자 ID와 비밀번호를 추측한 후 유명인의 아이클라우드 계정에 접근했을 가능성이 제기됐다.

이들 유명인들이 피싱 공격에 희생됐을 가능성도 있는데, 이 경우 수체크가 제기한 보안 문제가 더 심각해진다.

아이클라우드 인증을 통하면 사진, 문자메시지, 통화 내역, 연락처, 달력 등 사용자가 아이클라우드에 저장하기로 선택한 정보의 콘텐츠 전체를 다운로드 받는 것도 가능하다.

  아이클라우드 인증 정보가 노출됐을 때를 대비해 애플은 다른 보안책을 가동했다. 2단계 인증을 거치도록 선택할 수 있고, 새로운 기기가 계정에 접근하거나 비밀번호가 변경됐을 때 알림을 보내는 방식이다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.