서드-파티를 가장하여 순정 아이폰까지 인증 정보를 가로채는 트로이잔 바이러스 AceDeceiver와 해결 방법

Palo Alto Networks 에 따르면 탈옥을 하지 않은 순정 iOS에도 영향을 줄 수 있는 트로이잔(Trojan, 트로이 목마 바이러스)을 발견했고, 이를 AceDeceiver 라 명명했다.

Trojan horse virus 라 알려진 트로이잔이란 '트로이 전쟁의 트로이 목마' 에서 유례됐으며 마치 트로이 목마가 정상적인 목마를 가장에 병사를 실어 나르듯이 정상적인 프로그램을 가장하여 시스템 RAM에 상주하여 사용자 정보를 공격자에게 네트워크를 통해 전송하는 바이러스다.

(상단 개요 설명)앱스토어에서 앱을 구매하면 사용자의 PC나 아이튠즈로 다운로드 할 수 있게 되고 이후 iOS 기기로 설치한다. 그러나 AceDeceiver는 앱스토어로 부터 정상적으로 앱을 구매해도 사용자 PC가 이미 감염되어 이 과정에서 인증 정보가 공격자로 전송되는 것을 말한다.

이같은 공격은 아이튠즈와 무관하고, iOS 사용자들이 편의를 위해 설치하는 서드-파티 클라이언트(예를 들자면 iTools 등이 있다.)를 위장한 프로그램을 랜덤으로 배포하여 가능하다는 주장이다.

이 과정에서 애플의 DRM(디지털 인증 시스템)을 지칭하는 "FairPlay" 결함을 노려 iOS 기기를 감염시키기도 한다고 주장했다. 여기에 쓰인 해킹 기법은 중간자 공격(MITM : Man In The Middle Attack)이라 지적했다.

비대칭형 암호화 기술은 대칭형 암호화 기술 보다 보안상 더 유리하지만 MITM 공격에는 취약하다. 공격자가 중간에 끼어들어 데이터를 하이젝킹하여 수신자에게는 송신자 인 척, 송신자에게는 수신자인 척 하면서 양쪽의 키(key)와 암호화에 쓰이는 키를 모두 얻어내는 해킹 기법을 말한다.

따라서 Palo Alto Networks 의 주장처럼 서드-파티 설치 유도를 통해서 인증 정보(아이디, 패스워드)를 가로 챌 수는 있고 이는 이번이 처음도 아니다.

문제는 이 내용이 "탈옥하지 않은 순정 iOS도 감염 시킨다." 고 오해를 줄 수 있다는 것이다.

주장대로라면 iOS 의 샌드박스를 깰 수 있는 exploit이 요구된다. 그러니까, 사용자가 인지할 수 없을 정도로 탈옥툴을 심고 그것도 모자라 사용자가 인지할 수 없을 정도로 exploit을 설치하고 그것도 모자라 사용자가 인지할 수 없을 정도로 트로이잔을 iOS기기에 심었다는 얘기인데, iOS 의 보안이 그렇게 만만치는 않다.

(아직 최신 iOS인 iOS 9.1.2 탈옥도 불가고 iOS 9.3 부터는 iOS에 존재하는 거의 모든 exploit이 패치된다.)

(MITM 공격이 발견된 윈도우용 Aisi Helper 클라이언트와 iOS 기기 설치용 Aisi Helper 앱)

MITM 공격이 iOS 기기에 직접적으로 영향을 주기 위해서는 사용자가 프로파일 설치를 통해 서드-파티를 설치해야지만 얘기가 된다. 즉, iOS의 샌드박스를 깰 수는 없고 사용자가 직접 임의로 iOS의 보안을 해제하는 프로파일 설치를 해야지만 이때부터 사용자 인증 정보에 대한 하이젝킹이 가능하다.

Palo Alto Networks는 이 내용을 애플측에 통보한 만큼 아마도 곧 배포될 iOS 9.3 정식에서 패치될 수도 있고 이미 패치된 exploit일 수도 있다.

Via: MacRumors

▲ T.B의 SNS 이야기 블로그의 모든 글은 저작권법의 보호를 받습니다. 어떠한 상업적인 이용도 허가하지 않으며, 이용(불펌)허락을 하지 않습니다.

▲ 사전협의 없이 본 콘텐츠(기사, 이미지)의 무단 도용, 전재 및 복제, 배포를 금합니다. 이를 어길 시 민, 형사상 책임을 질 수 있습니다.

▲ 비영리 SNS(트위터, 페이스북 등), 온라인 커뮤니티, 카페 게시판에서는 자유롭게 공유 가능합니다.

T.B의 SNS이야기 소식은 T.B를 팔로윙(@ph_TB) 하시면 실시간으로 트위터를 통해서 제공 받을 수 있습니다.