앱 스토어 인기 앱 76종류, 해커의 공격에 취약한 상태

76 Popular Apps Vulnerable to Data Interception, Warns iOS Security Researcher

앱 스토어 인기 앱 76종류, 해커의 공격에 보안 취약한 상태

앱 스토어에서 76가지 인기있는 앱이 해커의 공격에 취약한 상태에있다. 해커는 이 취약점을 이용 기밀 테이터등 암호화 된 데이터를 훔치는 것이 가능하게 된것이다. 이는 개발자가 앱 전송 보안(ATS)을 사용하고 있는지의 여부에 관계없이 해킹이 가능하다는 것이다. Sudo Security Group의 최고 경영자(CEO) Will Strafach의 verify.ly 서비스는 개발자가 그들의 코드를 강화하고 보안하는 방법을 이해할 수 있도록 취약성을 검색하면서 iOS 앱 스토어에서 앱을 스캔한다. 이 스캔은 취약성 패턴을 찾는데 더 무서운 사례는 여러 앱에서 취약성이 반복적으로 발견된다는 것이다. 이 발표는 앱이 너무 일반적으로 사용되고 있기 때문뿐만 아니라, 이 앱들이 1800만 회가 넘게 다운로드 되었기 때문에 더 무서운 것이다. Will Strafach는 이 보고서에서 76개의 앱을 저, 중, 고 위험 카테고리로 분류. "iOS에 채용된 앱 전송 보안 기능(ATS)은 이 취약성의 작동을 차단하지 못한다."라고 말했다. iOS 9에 도입된 ATS는 앱으로 하여금 HTTPS를 사용해 사용자 보안 및 개인 정보를 개선하는 데 도움을 주도록 개선된 것이다. 애플은 원래 모든 앱에서 이 기능을 설정하도록 2017년 1월 1일로 날짜를 정했지만 이후 미확인된 날짜로 뒤로 미뤘다. 이 문제는 잘못 선정된 네트워킹 코드로 인해 애플의 ATS가 올바른 TLS연결로 인식하지 못하게 만든다.

취약한 목록의 앱에는 Snapchat 앱, Vice News의 공식 앱, 푸에르토 리코 및 리비아 기반 은행의 뱅킹 앱과 같은 인기있는 다운로드가 포함되어 있다.

모든 해당 응용 프로그램 이름이 즉시 공표되는 것은 아니다.  2~3개월의 "책임 있는 공개" 기간이 적용된 것으로 개발자는 그동안 문제를 해결한다. 만일 사용자가 자신의 기기에서 VPN을 사용하지 않을 경우 Will Strafach는 앱을 와이파이(Wi-Fi)를 통해 사용하지 않는 편이 안전하다고 한다. 문제의 진실은, 이런 종류의 해킹은 기기가 사용되는 동안 Wi-Fi 범위 내의 모든 사용자가 당할 수 있다. 

이 보안 문제를 차단하려고 시도 할 때 이 기능을 재정의하면 실제로 연결을 위해 인증서 피닝(pinning)을 사용할 수 없으므로 일부 iOS 응용 프로그램의 보안이 취약 해지기 때문에 Apple 측에서 해결할 수있는 문제는 없다. 따라서 앱 개발자가 자신의 앱이 취약하지 않도록 하는수 밖에.