iOS / 보안

아이폰, 심각한 위협이 되는 SMS 버그 발견

Antone Gonsalves | CSO 2012.08.20
아이폰에서의 보안은 모든 제 3자 앱을 사용자가 다운로드받기 전에 진단하는 애플의 역량으로 인해 신뢰도가 매우 높다. 그러나 프랑스의 한 해커가 이런 보호장치를 우회하는 스마트폰 문자 메시지 서비스에 결함이 있다고 주장했다.  
 
지난 금요일 아이폰 탈옥에 있어 최고로 알려져 있는 pod2g라는 해커는 공격자가 은행, 신용카드 업체 또는 다른 신뢰할만한 기관에서 메시지를 보낸 것처럼 할 수 있다고 말했다. 
 
이 취약점은 실행 코드를 포함하지 않았기 때문에 공격자는 애플을 우회할 멜웨어를 필요로 하지 않아 앱스토어에 팔기 전 모든 모바일 앱에 적용할 수 있다. 앱스토어는 애플 모바일 기기 용 소프트웨어를 합법적으로 다운로드 받을 수 있는 유일한 사이트다.  
 
자칭 아이폰 보안 연구가인 Pod2g는 이 취약점은 심각하며, 이는 최신 iOS인 iOS 6 베타 4 버전 등에도 영향을 미친다고 주장했다. iOS는 아이폰과 아이패드 운영체제다. 
 
Pod2g는 post.Ã'Â라는 블로그에서 "이 문제에 대해 이미 다른 보안 전문가들은 다 알고 있었다고 본다. 몇몇 공격자들이 이를 이용할 까 두렵다"고 말했다. 
 
베라코드 수석 보안 연구원 타일러 쉴즈는 카스퍼스키 연구소 블로그에 "이 취약점에 대해 주목해야 한다"며, "이것을 처음 봤을 때는 단순히 재미없는 취약점 형태로 보였다. 그러나 실제는 스푸핑(spoofing)과 사회 공학적 기반의 위협 모델에 매우 효과적으로 사용될 수 있음 알았다"고 말했다. 쉴즈는 "특정한 무언가로 사용자를 속여 신뢰를 위조하는 공격에 대해 엄중하게 비판한다"고 전했다. 
 
아이폰 SMS(short messaging service)를 통해 문자 메시지는 보낼 때, 폰은 일반적으로 PDU(Protocol Description Unit)라는 프로토콜을 통신업체가 이 메시지를 수신자의 전화번호에 전달하기 전에 전환시킨다.  
Pod2g는 "문자 페이로드는 UDH(User Data Header)라는 부문인데, 이는 문자의 발신 주소를 변경하도록 해준다. 공격자는 실제 보내는 발신번호와 다른 번호가 다르게 보낼 수 있는 이 취약점을 사용할 수 있다"고 설명했다. 
 
이 기능의 좋은 점은 응답자가 어느 기기에서 응답하든 실제 그의 전화번호로 보일 수 있다는 것이다. 아이폰에서 받는 문자의 전화번호는 발신 번호처럼 보이지만 진짜 번호를 추적할 수 없다.  
 
그 결과 공격자는 문자를 은행 또는 다른 신뢰할만한 곳에서 보낸 것처럼 보낼 수 있는데, 이는 개인정보를 노리거나 또는 직접적으로 수신인을 피싱 사이트로 유인하는 범죄에 사용될 수 있다. editor@itworld.co.kr
 Tags SMS 아이폰

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.