iPhone에서 MMS를 수신하면 비밀번호 등이 도난?

우리 시간으로 19일 새벽에 배포가 시작된 iOS 9.3.3과 OS X 10.11.6은, 지금까지 iPhone 및 Mac과는 무관하다고 생각되어 온 보안상의 취약점을 해결 한 업데이트 였던 것으로 나타났다.


즉, MMS를 수신하면, 비밀번호 등을 도용 당할 가능성이 있었다는....


- iPhone 및 Mac에서도 MMS나 Safari에서 모르는 사이 공격 당할 취약점



Android 단말기에서 악성 링크를 클릭하면, 단말기를 헌납하는 꼴이 되었던 "Stagefright"라는 심각한 취약점이 지난해 화제가 되었었지만, 같은 취약점이 iPhone과 같은 iOS 기기 또는 Mac에도 존재하고 있었던 것이 알려졌다.


이것은 보안 서비스 Cisco Talos의 Tyler Bohan 씨가 발견 한 것으로, 이미지 데이터의 처리를 행하는 ImageIO라는 부분의 버그가 원인이었다고.


이 버그를 악용 한 공격자가, 악성 TIFF 형식의 이미지 파일을 몰래넣어 인바운드 한 MMS를 수신하면, 공격이 시작된다. 공격을 받은 사용자가 모르는 사이에 마음대로 프로그램이 실행, 단말기에 저장된 각종 비밀번호가 도난의 위험성이 있다.



공격은 Safari를 통해서도 이루어지고, 악성 코드가 가르쳐 진 Web 페이지를 방문하는 것만으로 아무런 조작을 하지 않아도 공격을 받게된다.


- 공격을 받으면 암호가 도난


그러나 "탈옥" 하지 않은 일반 단말기라면, Apple 제품은 sandbox라는 보안 메커니즘이 있기 때문에 Android처럼 완전 무방비로 단말기 전체를 장악 당하지는 않는다.


Bohan 씨는, 이 취약점을 "Android의 Stagefright와 동등한 매우 위험한 버그"로 자리 매김하고, "MMS의 수신자는 공격을 피할 수 없다"며 모르게 공격을 받고 있을 가능성에 경고하고 있다.


Bohan 씨는, 같은 취약점을 Mac용 OS X, tvOS, watchOS에서도 발견했고, 특히 OS X에서 sandbox로도 막을 수 없다고 주의를 환기시키고 있다.



- iOS 9.3.3 등 최신 OS로 업데이트


이러한 취약점은 우리 시간으로 19일 새벽에 공개 된 iOS 9.3.3과 OS X 10.11.6, watchOS2.2.2, tvOS9.2.2에서 대책 가능하며, Apple의 공식 사이트에서 보안 업데이트에 대한 자세한 내용을 읽을 수 있다.


iOS 9.3.3의 업데이트 내용은, "결함 및 보안 문제를 수정, 개선하겠다"고 간결한 것으로, 참신한 새로운 기능이 없었기 때문에 방치하고 있는 분들도 많을지 모르겠지만, 서둘러 iOS 9.3.3으로 업데이트 할 것을 권장하고 있다.