Apple

iOS 인-앱 브라우저 키로깅 가능하다

T.B 2014. 9. 26. 00:13


금일 유명 트위터 서드파티 앱인 Twitteriffic의 개발자 중 하나인 Craig Hockenberry는 자신의 blog post를 통해서 iOS사용자의 인-앱 브라우저 사용에 관하여 매우 주의가 필요하다 경고했다. Hockenberry 에 따르면 동영상 아웃라인을 통해서 인-앱 브라우저의 보안 로그인 화면을 통해서 타이핑이 되는 모든 것을 레코딩 할 수 있다는 것을 보여줬다.


이는 악의를 가진 개발자가 잠재적으로 인 앱 브라우저를 통해서 사용자 이름(아이디)과 패스워드를 확보 할 수 있다는 것으로 가장 우려되는 부분은 트위터 혹은 페이스북 등의 소셜미디어(SNS) 관련 서드파티-앱이라 언급했다. 많은 사용자들은 트위터, 페이스북, 인스타그램의 공식 앱 보다 서드파티-앱을 사용중이고 인-앱 브라우저를 통해서 해당 계정을 연동할 수 있다. 아래는 Hockenberry가 공개한 키로깅(Keylogging) 시연 영상이다.



Hockenberry는 iOS7과 iOS8 뿐만 아니라 구버전의 iOS에서도 확인했다고 밝혔고 아직까지 이에 관한 명확한 해결책이 없으며 사용자 스스로가 개인정보 관리에 주의하는 방법으로 인-앱 브라우져를 사용하지 말고 Safari 브라우저를 사용할 것을 권했다.


구글이 사전검열을 하지 않는 안드로이드에서는 빈번한 키로깅이 iOS에서 발견됐다는 것에 주목할 필요가 있다. iOS8에서 새롭게 발견된 버그도 아니고 iOS7은 물론 이전 버전에서도 가능했다는 점에서 이미 상당수의 개인정보가 이런 방식으로 유출됐을 가능성은 높다.


탈옥 사용자들의 경우 이와 관련된 특정 앱에 대한 패치(모든 서드파티-앱에 관한 패치는 당연히 불가하다.)가 배포되겠으나 순정 iOS를 사용중이라면 애플이 사전검열을 강화하는 것 외에 방법도 없다. 


이 키로깅 동영상이 탈옥 기기에서의 동영상인지는 확인할 길이 없으나 Hockenberry 의 말 처럼 Safari만 이용하는 것이 현재로써는 유일한 방법으로 내용의 진위가 가려질 때 까지 가능한 인-앱 브라우져를 통한 로그인은 자제하는 편이 좋을 듯 싶다.


iOS의 보안은 완벽하지 않다. 잘 알려지지는 않았으나 hijacking의 위험성도 존재한다. WiFi 망을 이용하여 사용자 몰래 멜웨어를 심을 수도 있다는 내용이 보도되기도 했다. 물론 일전에 한 국내 언론에서 소개된 Dropoutjeep와 같은 웃픈 사건도 있기도 하다. 이제는 키로깅이다.


via MacRumors


 T.B의 SNS 이야기 블로그의 모든 글은 저작권법의 보호를 받습니다. 어떠한 상업적인 이용도 허가하지 않으며, 이용(불펌)허락을 하지 않습니다.

▲ 사전협의 없이 본 콘텐츠(기사, 이미지)의 무단 도용, 전재 및 복제, 배포를 금합니다. 이를 어길 시 민, 형사상 책임을 질 수 있습니다.

▲ 비영리 SNS(트위터, 페이스북 등), 온라인 커뮤니티, 카페 게시판에서는 자유롭게 공유 가능합니다.


T.B의 SNS이야기 소식은 T.B를 팔로윙(@ph_TB) 하시면 실시간으로 트위터를 통해서 제공 받을 수 있습니다.

728x90
반응형