상세 컨텐츠

본문 제목

[해외보안동향] 피싱 공격을 허용하는 iOS, OS X의 메일 버그 발견

국내외 보안동향

by 알약(Alyac) 2015. 6. 11. 14:56

본문

피싱 공격을 허용하는 iOS, OS X의 메일 버그 발견 

Mail Bug on iOS, OSX, Opens Door to Phishing Attacks


iOS와 OS X의 메일 클라이언트에서 공격자가 외부 HTML을 로드하여 피싱 공격을 실행할 수 있도록 허용하는 버그가 발견되었습니다. 이는 체코의 Jan Souček 연구원에 의해 밝혀졌으며 공격자가 HTML과 CSS를 이용해 사용자 스스로가 그들의 아이디와 비밀번호를 입력하도록 유도합니다. Souček은 올해 초 해당 버그를 발견한 후 애플에 제보했지만, 5개월이 지난 지금에도 버그는 고쳐지지 않아 PoC를 공개하게 되었다고 밝혔습니다.



해당 이슈는 애플의 이메일 클라이언트가 <meta http-equiv=refresh> HTML 태그를 보여주기 때문에 발생하는 것이며, 이메일 메시지의 콘텐츠를 외부의 HTML 콘텐츠로 대체할 경우, 사용자의 패스워드 입력을 요구하는 창을 표시할 수 있습니다.


※ PoC 영상: https://www.youtube.com/watch?v=9wiMG-oqKf0


위의 영상에서 메일 앱에 표시되는 ‘가짜 로그인 팝업’을 확인할 수 있습니다. 'iCloud login'이라고 표시된 창은 iOS 사용자들이 인증 및 네트워크 이슈가 있을 때 볼 수 있는 창과 동일한 이미지를 사용하고 있어 진짜 로그인 팝업창으로 오인하기 쉽습니다. 만일 사용자가 가짜 로그인 창에 계정 및 패스워드를 입력하게 하면 해당 정보들이 즉시 공격자에게 전송됩니다.


이 이슈는 비슷한 인젝션 취약점인 CVE-2014-4925의 요소들을 포함하고 있습니다. 해당 버그는 iOS와 안드로이드용 기업용 앱인 'Good'에 존재하며 공격자가 이메일 헤더에 HTML을 삽입할 수 있도록 허용합니다. 애플은 아직까지도 해당 이슈를 수정하지 않았습니다. 그러나 Souček 연구원은 이 취약점이 간단히 고쳐질 수 있는 문제로 “메타 리프레쉬 태그를 무시함으로써 이 문제는 해결될 수 있을 것.”이라고 밝혔습니다. 이 문제는 레딧에서도 논의된 바 있습니다만, 한 사용자는 단 5분 만에 해결책(탈옥폰용)을 발표하기도 했습니다. HASHBANG Productions가 발표한 픽스는 사용자가 요청하지 않았을 경우 어떤 종류의 이동도 허용하지 않으며 탈옥한 폰에서만 적용할 수 있습니다.



참고:


관련글 더보기

댓글 영역