보안 연구원, 애플 패치 지연으로 사파리 취약점 직접 공개해

Security researcher discloses Safari bug after Apple delays patch

 

한 보안 연구원이 사용자의 기기에서 파일을 훔치는데 악용이 가능한 사파리 브라우저 취약점에 대한 자세한 내용을 공개했습니다.

 

이 취약점은 폴란드의 보안 회사인 REDTEAM.PL의 Pawel Wylecial이 발견했습니다.

 

Wylecial은 올 봄 애플 측에 이 취약점을 제보했지만, 애플이 1년 후인 2021년 봄까지 패치를 지연시키자 취약점에 대한 세부 정보를 공개했습니다.

 

취약점의 작동 방식

 

Wylecial는 블로그를 통해 해당 취약점이 사파리의 Web Share API의 구현에 존재한다고 밝혔습니다. Web Share API는 텍스트, 링크, 파일 및 기타 콘텐츠를 공유하기 위한 브라우저 간 API를 도입한 새로운 웹 표준입니다.

 

해당 보안 연구원은 iOS 및 macOS 용 사파리 모두 file:// URI 체계를 통해 사용자의 로컬 하드 드라이브 내 저장된 파일 공유를 지원한다고 밝혔습니다.

 

이는 꽤 심각한 개인정보 보호 관련 이슈로, 악성 웹 페이지가 사용자에게 자신의 친구들에게 이메일을 통해 기사를 공유하라는 초대 메시지를 보내게 될 수 있습니다. 하지만 실제로는 그들의 기기에서 파일을 은밀히 빼내 유출시키게 될 수 있습니다.

 

이 취약점의 시연 영상은 여기에서 확인하실 수 있습니다. 사파리 사용자의 /etc/passwd를 유출하거나 [1] 브라우저 히스토리 데이터베이스를 유출하는 [2] 데모를 체험해보는 것도 가능합니다.

 

Wylecial는 이 취약점을 통해 로컬 파일을 유출하기 위해서는 사용자와의 상호작용 및 복잡한 소셜 엔지니어링 기법이 필요하기 때문에 취약점의 심각성을 다소 낮게 평가했습니다. 하지만 공격자들이 “공유된 파일을 사용자에게 보이지 않게 하는 것”은 꽤 쉬운 작업이라 밝혔습니다.

 

최근 애플의 패치 처리 관련 행보에 대한 비판

 

하지만 취약점의 심각성뿐 아니라 애플이 버그 리포트를 처리하는 방식 또한 문제가 되고 있습니다.

 

애플은 4개월이 지났음에도 패치를 준비하지 못했을 뿐 아니라 해당 취약점을 제보한 연구원에게 처음 취약점을 발견하고 약 1년 후인 내년 봄까지 취약점을 공개하지 말 것을 권고했습니다. 보통 정보 보안 업계에서 통용되는 취약점 공개 기한은 90일이지만, 애플은 이 기한을 크게 지연시켰습니다.

 

애플은 전용 버그 바운티 프로그램을 발표했음에도, 이는 취약점 패치가 지연되더라도 보안 연구원이 발설할 수 없도록 하기 위한 것이라는 비난을 받고 있습니다.

 

Wylecial이 금일 그가 발견한 취약점을 공개하자 다른 연구원들 또한 애플이 신고된 버그에 대한 패치를 1년 이상 지연시켰다고 제보해 왔습니다.

 

 

<이미지 출처: https://twitter.com/c0d3G33k/status/1297913307718750208>

 

 

지난 7월, 애플은 Security Research Device 프로그램 규칙을 발표한 당시 구글의 Project Zero 보안 팀은 프로그램 규칙이 버그 공개를 제한하고 보안 연구원들의 입 마개 역할을 한다고 주장하며 해당 프로그램에 참여를 거절했습니다.

 

 

출처:

https://www.zdnet.com/article/security-researcher-discloses-safari-bug-after-apple-delays-patch/

https://blog.redteam.pl/2020/08/stealing-local-files-using-safari-web.html