인위적 클릭으로 보안 기능을 우회할 수 있는 MacOS 제로데이 취약점

macOS 0-Day Flaw Lets Hackers Bypass Security Features With Synthetic Clicks

보안 연구원이 인위적 클릭(Synthetic Click)을 수행하여 보안 경고를 우회하는 새로운 방법을 찾아냈습니다. 

이 방법은 사용자가 아무런 행동을 하지 않아도 실행이 가능한 것으로 나타났습니다.

지난 6월, 애플은 MacOS에 모든 응용 프로그램이 기기의 카메라나 마이크, 위치 데이터, 메시지, 브라우징 히스토리를 포함한 시스템의 민감 데이터나 컴포넌트에 접근을 시도할 때, 반드시 사용자의 허가를 얻도록 하는 핵심 보안 기능을 추가했습니다.

‘인위적 클릭(Synthetic Click)’은 사람이 아닌 소프트웨어 프로그램이 만들어낸 프로그래밍된 마우스 클릭을 일컫는 말입니다.

macOS에는 ‘인위적 클릭’을 위한 기능이 내장되어 있는데, 이 기능은 장애가 있는 사용자를 위한 기능으로 일반적인 방식과는 다른 방식으로 시스템 인터페이스를 사용하기 위한 접근성 기능입니다.

 

<이미지 출처: https://twitter.com/patrickwardle>

따라서 악성 앱들이 이 클릭 프로그래밍 기능을 악용하는 것을 막기 위하여, 애플이 승인한 프로그램들만 이 기능을 사용하는 것이 가능합니다.

하지만, Patrick Wardle는 타깃 MacOS 시스템에 설치된 악성 프로그램이 사용자의 실제적인 동의나 상호작용 없이도 보안 프롬프트의 버튼을 클릭을 허용하는 치명적인 결함을 발견했습니다.

애플은 이 취약점이 공개된 지 몇 주가 지난 후 이 취약점을 패치했습니다.

하지만 Wardle 연구원은 사용자 허가 없이 '인위적 클릭'을 통해 개인 데이터에 접근할 수 있는 새로운 방법을 공개적으로 시연했습니다.

 

<이미지 출처: https://thehackernews.com/2019/06/macOS-synthetic-click.html>

Wardle 연구원은 모하비(Mojave) macOS가 화이트리스트 처리된 앱의 무결성을 검사하는 방식에 리스트 검증 결함이 존재한다고 설명했습니다.

이 결함은 OS가 프로그램의 디지털 인증서가 있는지 여부는 확인하지만, 앱이 변조된 경우 유효성을 제대로 검증하지 못하기 때문에 발생합니다.

연구원은 시스템은 허용된 화이트리스트 프로그램이 변조되지 않았는지 검증을 하지만, 이 과정에는 결함이 존재한다고 밝혔습니다. 

따라서 공격자는 화이트리스트 프로그램을 변조하고, 인위적 클릭을 수행하기 위한 코드를 삽입할 수 있습니다. 

예를 들면, 사용자의 위치정보, 마이크, 웹캠, 사진, SMS/전화 기록 등에 접근하기 위하여 모하비의 보안/프라이버시 경고 창을 조작할 수 있습니다.

게다가 이 화이트리스트 처리된 앱들은 시스템에 존재할 필요가 없습니다. 

공격자는 클릭을 발생시키기 위해 이미 변조된 화이트리스트 앱 중 하나를 시스템으로 불러와 백그라운드에서 실행할 수 있습니다.

Wardle은 몬테카를로의 Objective By the Sea 콘퍼런스를 통해 이 제로데이 취약점을 시연했습니다. 

그는 VLC Player를 악용하여 제작한 악성코드를 서명되지 않은 플러그인 형태로 삽입하고 동의를 요구하는 프롬프트에서 인위적 클릭을 수행했습니다. 

이 과정에서 사용자의 어떠한 상호작용도 필요하지 않았습니다.

Wardle은 새로운 인위적 클릭 취약점을 "2단계 공격"이라 밝혔습니다. 

2단계 공격이라고 부른 이유는 공격자가 이미 피해자의 macOS 컴퓨터에 원격으로 접속할 권한을 가지고 있거나, 악성 어플리케이션을 설치해 두어야 공격이 가능하기 때문입니다.

Wardle은 지난주 해당 취약점에 대해 애플에 제보했으나, 정확한 패치 공개 일정을 듣지는 못했다고 전했습니다.

출처:

https://thehackernews.com/2019/06/macOS-synthetic-click.html