Android 및 iOS 앱을 감사하는 코드 분석 플랫폼인 SourceDNA는 최근 1,000개 이상의 iOS 앱에 사용자의 금융 세부 정보를 손상시킬 수 있는 심각한 보안 취약점이 있음을 나타내는 보고서를 발표했습니다.
이 버그는 앱이 SSL 인증서를 올바르게 인증하지 못하게 하여 앱을 여러 가지 메시지 가로채기 공격에 노출시킵니다. 이 앱은 iOS 자체의 보안에는 영향을 미치지 않지만 영향을 받는 앱을 통해 전송되는 사용자 데이터를 손상시킬 수 있습니다...
SSL을 깨는 간단한 버그
문제의 버그는 수천 개의 App Store 앱에서 사용되는 인기 있는 오픈 소스 네트워킹 솔루션인 AFNetworking 패키지에 있습니다. 버그는 SSL 확인이 실제로 발생하지 않도록 하여 모든 인증서 확인을 유효한 것으로 반환하는 간단한 논리 오류입니다. 이것은 HeartBleed 또는 ShellShock과 같은 대규모 보안 재앙이 아니지만 버그가 포함된 앱을 사용하는 경우 문제입니다. 운 좋게도 버그는 2.5.1에서 추가되었고 2.5.2에서 수정된 지 약 6주 동안만 존재했습니다. 그것이 이야기의 끝이라고 합리적으로 생각할 수 있습니다.
안타깝게도 없습니다.
안타깝게도 많은 개발자가 버그 수정으로 앱을 최신 상태로 유지하지 않으며 패치가 있음에도 불구하고 여전히 깨진 AFNetworking 버전을 사용하는 앱이 많이 있습니다. SourceDNA는 AFNetworking 패키지 버전이 포함된 20,000개의 앱을 분석한 결과 약 1,000개의 앱이 여전히 깨진 SSL 검사를 사용하고 있음을 확인했습니다.
SourceDNA는 수천 개의 앱의 바이너리 파일을 분석할 수 있는 분석 도구를 사용하여 이 검사를 수행할 수 있었습니다. 그들의 기술을 통해 이러한 앱이 컴파일된 라이브러리뿐만 아니라 어떤 버전을 식별할 수 있습니다. 그 라이브러리의. 결과적으로 이것은 알려진 버그 및 취약점의 영향을 받을 수 있는 앱을 식별하는 데 매우 유용합니다. 발표된 논문에 따르면
<블록 인용>"SourceDNA는 취약한 코드를 찾기 위해 그들로부터 차등 지문을 생성했습니다. 이것을 타겟 버전에만 존재하거나 존재하지 않는 고유한 특성의 집합으로 생각하고 그 이전이나 이후에는 다른 어떤 것도 존재하지 않습니다. 이 서명 집합을 통해 우리의 분석은 엔진은 각 앱에서 사용 중인 AFNetworking 버전을 정확히 알려줄 것입니다. "
영향을 받는 많은 앱은 Alibaba.com 모바일 앱, KYBankAgent 3.0, Revo Restaurant POS를 포함하여 사용자 신용 카드 데이터를 저장하고 전송합니다. 수백만 명의 사용자가 iOS 기기에 취약한 앱을 설치했습니다. 이러한 짧은 버그로 인해 엄청난 노출이 발생했습니다.
<블록 인용>"5% 또는 약 1,000개의 앱에 결함이 있습니다. 이 앱이 중요합니까? 순위 데이터와 비교하여 Yahoo!, Microsoft, Uber, Citrix 등의 큰 플레이어를 찾았습니다. 단 6주 동안 보안 결함이 발생하여 수백만 공격할 수 있습니다."
AFNetworking 버그의 영향 평가
이 취약점이 얼마나 심각한가요? 이 버그로 인해 공격자는 앱이 신뢰할 수 있는 서버와의 보안 연결을 통해 통신하고 있다고 생각하도록 속일 수 있습니다. 취약한 앱을 사용하는 경우 동일한 WiFi 네트워크에 있는 모든 사용자가 중간자 공격을 설정하고 신용 카드 정보와 같은 민감한 데이터를 포함하여 앱의 정보를 가로챌 수 있습니다. 이 정보는 신원 도용 및 기타 사기 행위를 조장하는 데 사용될 수 있습니다. 잠재적으로 이러한 종류의 공격은 인기 있는 앱을 대상으로 자동화될 수 있습니다.
뉴스가 나온 후 Microsoft와 Yahoo를 포함하여 많은 회사들이 업데이트와 수정을 서두르고 있습니다. 그러나 대부분의 앱은 패치되지 않은 상태로 남아 있습니다. 사용하는 앱이 영향을 받는지 확인하려면 SourceDNA 검색 도구를 사용할 수 있습니다. 앱 중 하나가 여전히 취약하다는 것을 발견한 경우 가장 안전한 전략은 해당 앱을 일시적으로 삭제하고 가능한 한 빨리 패치를 내놓으라고 개발자에게 메시지를 보내는 것입니다.
SourceDNA는 영리한 도구이며 이는 그들의 기술이 진정으로 유용하다는 것을 보여줍니다. 컴퓨터 보안은 어렵고 개발자의 협력 여부에 관계없이 패치되지 않은 버그를 찾는 프로세스를 자동화할 수 있는 도구는 사용자 보안에 큰 도움이 됩니다. 이런 종류의 확인이 없었다면 이 널리 퍼진 버그는 아마도 꽤 오랫동안 지속되었을 것입니다. 이러한 종류의 분석은 개발자가 훨씬 더 책임감을 갖도록 하는 대중의 수치심을 가능하게 하며, SourceDNA는 감지되지 않고 해결되지 않은 문제를 더 밝힐 것 같습니다.
iOS 기기가 AFNetworking 버그의 영향을 받습니까? 이러한 새로운 분석 도구가 마음에 드십니까? 댓글로 알려주세요!
이미지 제공:"미 해군 사이버 전쟁", "iPhone 전면," "iPhone 카메라", Wikimedia 제공