[해외보안동향] iOS의 AFNetworking에서 SSL 취약점 발견

iOS의 AFNetworking에서 SSL 취약점 발견 

iOS의 AFNetworking 라이브러리에서 중간자 공격이 가능한 심각한 보안 취약점이 발견되었습니다. AFNetworking는 오픈소스 코드 라이브러리로, 개발자들이 iOS와 OS X프로세스 중 네트워크 기능을 추가할 때 자주 사용되고 있습니다. 그러나 해당 라이브러리는 SSL 인증서가 합법적인 인증 기관에서 발급된 것인지에 대한 도메인 이름을 체크하지 않는 취약점을 가지고 있는 것으로 확인되었습니다. 공격자는 해당 취약점을 이용해 중간자 공격을 할 수 있습니다.
 

AFNetworking 최신 버전인 2.5.3 이전 버전을 사용하는 경우, SSL 프로토콜로 보호되어 있어도 해당 취약점에 노출될 수 있습니다. 확인 결과, 현재 앱 스토어에 있는 25000개 이상의 어플들이 해당 공격에 취약한 것으로 확인되었습니다. 

공격자는 신뢰할 수 있는 인증기관(CA)이 발급한 SSL인증서만 있다면, 도메인명과 상관없이 모든 SSL 데이터를 암호화, 복호화할 수 있습니다. 이러한 인증서는 50달러만 지불하면 구매할 수 있어 더욱 위험합니다. 즉, 공격자는 Google의 SSL 인증서를 이용하여 Facebook.com을 위조할 수 있는 것입니다. 

이에 AFNetworking 라이브러리는 최근 해당 취약점을 패치한 2.5.3버전을 공개했습니다. 하지만 하위 버전(2.5.2 이하)에는 여전히 SSL 관련 취약점이 존재하고 있으며, 패치가 진행되지 않은 상황입니다. 

 

SourceDNA에 따르면 뱅크 오브 아메리카, 웰스 파고, JP모건 체이스 등을 포함한 중요 앱들이 도메인명 인증 기능을 오프시켜둔 상태라고 밝혔습니다. 또한 야후, MS 등이 개발한 앱들은 이 HTTPS 손상 취약점에 취약하다는 점을 알렸습니다. SourceDNA는 공격자들이 해당 취약점을 악용하는 것을  방지하기 위해, 취약점을 가진 앱 리스트를 공개하지는 않았습니다. 그러나 앱 개발자들에게 AFNetworking 빌드 2.5.3버전을 설치하고, 도메인 명 인증을 디폴트로 활성화할 것을 안내했습니다.

※ 취약점 확인 페이지 : http://searchlight.sourcedna.com/lookup

 

참고:

http://thehackernews.com/2015/04/ssl-vulnerability-iOS-security.html

https://github.com/AFNetworking/AFNetworking/releases/tag/2.5.3

http://sourcedna.com/blog/20150424/afnetworking-strikes-back.html