포스팅 내용

국내외 보안동향

[해외보안동향] 피싱 공격을 허용하는 iOS, OS X의 메일 버그 발견

피싱 공격을 허용하는 iOS, OS X의 메일 버그 발견 

Mail Bug on iOS, OSX, Opens Door to Phishing Attacks


iOS와 OS X의 메일 클라이언트에서 공격자가 외부 HTML을 로드하여 피싱 공격을 실행할 수 있도록 허용하는 버그가 발견되었습니다. 이는 체코의 Jan Souček 연구원에 의해 밝혀졌으며 공격자가 HTML과 CSS를 이용해 사용자 스스로가 그들의 아이디와 비밀번호를 입력하도록 유도합니다. Souček은 올해 초 해당 버그를 발견한 후 애플에 제보했지만, 5개월이 지난 지금에도 버그는 고쳐지지 않아 PoC를 공개하게 되었다고 밝혔습니다.



해당 이슈는 애플의 이메일 클라이언트가 <meta http-equiv=refresh> HTML 태그를 보여주기 때문에 발생하는 것이며, 이메일 메시지의 콘텐츠를 외부의 HTML 콘텐츠로 대체할 경우, 사용자의 패스워드 입력을 요구하는 창을 표시할 수 있습니다.


※ PoC 영상: https://www.youtube.com/watch?v=9wiMG-oqKf0


위의 영상에서 메일 앱에 표시되는 ‘가짜 로그인 팝업’을 확인할 수 있습니다. 'iCloud login'이라고 표시된 창은 iOS 사용자들이 인증 및 네트워크 이슈가 있을 때 볼 수 있는 창과 동일한 이미지를 사용하고 있어 진짜 로그인 팝업창으로 오인하기 쉽습니다. 만일 사용자가 가짜 로그인 창에 계정 및 패스워드를 입력하게 하면 해당 정보들이 즉시 공격자에게 전송됩니다.


이 이슈는 비슷한 인젝션 취약점인 CVE-2014-4925의 요소들을 포함하고 있습니다. 해당 버그는 iOS와 안드로이드용 기업용 앱인 'Good'에 존재하며 공격자가 이메일 헤더에 HTML을 삽입할 수 있도록 허용합니다. 애플은 아직까지도 해당 이슈를 수정하지 않았습니다. 그러나 Souček 연구원은 이 취약점이 간단히 고쳐질 수 있는 문제로 “메타 리프레쉬 태그를 무시함으로써 이 문제는 해결될 수 있을 것.”이라고 밝혔습니다. 이 문제는 레딧에서도 논의된 바 있습니다만, 한 사용자는 단 5분 만에 해결책(탈옥폰용)을 발표하기도 했습니다. HASHBANG Productions가 발표한 픽스는 사용자가 요청하지 않았을 경우 어떤 종류의 이동도 허용하지 않으며 탈옥한 폰에서만 적용할 수 있습니다.



참고:


  1. 입문자 2015.09.21 16:20 신고  수정/삭제  댓글쓰기

    CVE-2014-4925 가 뭐예요? 인젝션 취약점 중 하나를 나타내는 코드같은 건가요?

    • 알약(Alyac) 2015.10.07 13:56 신고  수정/삭제

      안녕하세요 입문자님, CVE란 Common Vulnerabilities & Exposures의 약자로 취약점 고유 코드라고 보시면 됩니다. 더 자세한 내용은 알약 홈페이지를 참고해 주시기 바랍니다. http://alyac.altools.co.kr/securitycenter/issue/CommonSenseView.aspx?id=76
      감사합니다.

티스토리 방명록 작성
name password homepage