iPhone Jailbreak를 좋아하시는 분들에게 좋은 소식이 있습니다. iPhone의 나머지 사용자들에도 마찬가지입니다.
오늘 중국 사이버 보안 연구원이 원격 공격자가 iOS 12.1.2 및 이전 버전을 실행하는 사람들의 iPhoneX를 탈옥하고 손상시킬 수 있는 Apple Safari 웹 브라우저 및 iOS의 중요한 취약성에 대한 기술적 세부 정보를 발표했습니다.
그렇게 하려면 공격자가 iPhoneX 사용자를 속여 Safari 브라우저를 사용하여 특수하게 조작된 웹 페이지를 열기만 하면 됩니다.
그러나 결함을 찾고 이러한 공격을 수행하기 위한 작업 중인 악용 방법을 만드는 것은 모든 iOS 해커에게 들리는 것처럼 쉽지 않습니다.
보안 연구원인 Qihoo 360의 Vulcan 팀의 Qixun Zhao가 발견한 이 공격은 작년 11월에 열린 TianfuCup 해킹 콘테스트에서 처음 소개된 두 가지 보안 취약점을 이용하고 나중에 Apple 보안 팀에 보고되었습니다.
Zhao는 오늘 Apple이 문제를 해결하기 위해 어제 iOS 버전 12.1.3을 출시한 후 “Chaos”라고 이름붙인 자신의 업적에 대한 자세한 설명과 개념 증명 비디오 데모를 발표했습니다.
연구원에 따르면, 원격 Jailbreak 공격은 두 가지 취약성, 즉 Apple Safari WebKit의 CVE-2019-6227 유형과 iOS 커널의 사용 후 메모리 손상 문제(CVE-2019-6225)의 조합입니다.
Chaos iPhone X 감옥 공격 비디오 데모에서 보듯이 Safari 결함은 악의적으로 조작된 웹 콘텐츠가 대상 장치에서 임의 코드를 실행할 수 있도록 했고, 그 다음 두 번째 버그를 사용하여 권한을 상승시키고 악의적인 애플리케이션을 자동으로 설치할 수 있도록 했습니다.
하지만, 이 연구원은 애플 사용자들에 대한 악의적인 공격을 막기 위한 시도로 iOS 탈옥을 위한 코드를 발표하지 않기로 선택했고, 탈옥 커뮤니티가 이 정보를 곧 사용자들을 위한 적절한 탈옥 공격을 고안하는데 사용하기를 희망했습니다.
“저는 공격 코드를 공개하지 않을 것입니다. 만약 여러분이 탈옥을 원한다면, 여러분은 스스로 공격 코드를 완성하거나 커뮤니티에서 탈옥버젼이 나올때 까지 기다려야 할 것입니다. 그와 동시에, 이 부분은 탈옥 커뮤니티에서 다루는 문제이기 때문에 저는 이 공격에 대해 자세한걸 언급하지 않을것 입니다,” 라고 자오가 말했습니다.
일단 지금 이 공격의 넓은 성격에 근거해 볼 때, 탈옥을 기다리는 것이 아니라, 가능한 한 빨리 최신 iOS 업데이트를 설치하는 것이 좋습니다.
'Tech' 카테고리의 다른 글
| “떠오르는 와이파이 6, 우리 회사에 맞을까?” 적합성 기준과 준비 사항 (0) | 2020.11.17 |
|---|---|
| 윈도우 10 PC 저장 공간을 최적화하는 5가지 방법 (0) | 2020.11.17 |
| 새로운 안드로이드 맬웨어 앱은 모션 센서를 사용하여 탐지합니다. (0) | 2020.11.17 |
| 랜섬웨어로부터 백업을 보호하는 방법 (0) | 2020.11.17 |
| 블록체인이 만드는 비밀번호 없는 세상 (1) | 2020.11.17 |