▶ 보안 관련 정보 및 팁

아이폰 탈옥과 jailbreakme.com 그리고 제로데이 취약점

물여우 2010. 8. 7. 09:02
반응형

핀란드의 보안 전문 업체인 에프시큐어에서 블로그를 통해 아이폰 탈옥과 관련된 포스팅을 연달아 올리고 있어 소개해 봅니다. (※ 영문) 


최근에 아이폰 4와 3gs에 사용되는 ISO 4 운영 체제의 탈옥이 가능해진 것으로 알고 있습니다. 탈옥 자체가 초기 탈옥과 달리 정말 간편해졌는데, 특히 탈옥 과정에서 눈에 띄는 부분은 "jailbreakme.com" 사이트에 접속만 해도 탈옥이 완료된다는 점입니다. 



일반적인 상황에서는 당연히 불가능한 웹사이트 접속을 통한 시스템 변조가 가능한 이유는 에프시큐어의 분석에 따르면 IOS에 존재하는 제로데이 취약점을 통해 탈옥을 시키는 것이라고 합니다.

▶ 관련 취약점 정보

-
Apple iOS CFF Font Parsing and Security Bypass Vulnerabilities (by Secunia)


에프시큐어에서 굳이 "제로데이"라는 명칭을 덧붙인 것은 아직까지 취약점 패치가 나오지 않았고, 이를 통해 악의적인 행위가 충분히 가능하기 때문으로 보입니다. 소개한 링크 중 두 번째를 보시면 아시겠지만 메일 첨부, mms 등의 방법으로도 충분히 공격이 가능한 수법입니다. 더욱이 이 취약점은 아이폰만의 문제가 아니라 ISO 운영체제를 사용하는 아이패드, 아이팟터치까지 영향을 받습니다.
 
다행인 점은 아직까지 해당 취약점을 통한 악성코드 유포가 시작된 것은 아니라는 점입니다. 또한 해당 취약점 공격을 위한 코드가 공개된 것도 아니어서 당장에 악의적인 공격이 시작될 것도 아니기 때문에, 애플의 보안 패치가 빨리 이루어진다면 별일이 아닐 수도 있습니다. 그렇지만 앞으로 언제든지 이와 유사한 상황이 아이폰 뿐만 아니라 안드로이드나 심비안같은 스마트폰 운영체제에서도 나타날 수 있다는 점은 다소 우려되는 부분입니다.

이런 부분에 대해서 현재 유/무료로 제공되는 각종 보안 제품의 어플들이 얼마나 높은 보안 환경을 제공해줄지 궁금해집니다. 개인적으로는 안드로이드를 위시해서 국내외 보안 업체들의 스마트폰 백신에 관한 홍보가 다소 과하다고 생각은 되는데, 현실적으로 사용자가 많아질 수록 거기서 이득을 얻으려는 악의적인 활동도 같이 증가하기 때문에 반드시 필요한 부분이고는 생각합니다. 다만, 실질적으로 보안 제품 어플이 얼마만큼의 성능을 보여주느냐가 문제가 될 것이라 생각합니다.


개인적으로 아이폰이 없는지라 탈옥에 대해서 별다른 관심은 없지만, 아이폰 유저분들이나 다른 스마트폰 유저분들은 스마트폰 보안에 관하여 한번 쯤 읽어보실만한 글이라 생각합니다.  


- 이상입니다.

반응형