애플의 iCloud, 삭제 된 사파리 브라우징 히스토리를 수 년 이상 보관해

애플의 iCloud, 삭제 된 사파리 브라우징 히스토리를 수 년 이상 보관해

Apple’s iCloud saved the deleted Safari browsing history over the years

Elcomsoft에 따르면, 애플의 iCloud가 삭제된 사파리 브라우징 히스토리를 수 년이 넘게 보관해 감시로 이어질 수 있다는 사실을 확인하였습니다. 

보안연구원들은 iCloud 계정으로부터 기록을 추출하는 과정에서 다음과 같은 사실을 발견하였으며, 실제로 그들은 삭제된 것으로 보이는 사파리 브라우저 히스토리를 계정으로부터 뽑아낼 수 있었습니다. 심지어 웹사이트를 방문한 날짜, 시간 및 해당 기록이 삭제된 날짜, 시간과 같은 정보들도 추출해 낼 수 있었습니다. 

사파리의 히스토리는 특정 iCloud 계정을 사용하는 기기들 사이에서 동기화가 됩니다. 만약 사용자가 한 장비에서 기록을 삭제할 경우, 이는 다른 모든 장비들이 인터넷에 연결되고 몇 초 이내에 삭제가 될 것입니다. 

사용자들은 iCloud에 자신들의 브라우징 히스토리를 저장하도록 설정할 수 있습니다. 이렇게 하면 사용자의 모든 연결된 기기들에서 조회가 가능합니다. 하지만 연구원들은 사용자들이 히스토리를 삭제하더라도 iCloud에서는 이를 삭제하지 않고 사용자에게만 보이지 않는 형식으로 저장하고 있었던 것이라고 밝혔습니다.

보안연구원은 "이러한 기록들은 애플의 iCloud에 훨씬 오랫동안 보관되어 온 것으로 추정된다. 실제로 우리는 1년 이상 된 기록도 발견했다. 사용자는 이러한 기록들을 볼 수 없으며, 자신의 브라우징 기록이 아직도 애플 서버에 존재하는 사실을 모르고 있다"라고 밝혔습니다.

어떻게 동작하는가?

iCloud에서 사파리 히스토리를 추출해내기 위해서는 사용자의 애플 ID를 인증 받아야 합니다. 이 작업은 로그인 크리덴셜을 사용하거나, 사용자의 컴퓨터에서 추출한 인증 토큰을 사용하면 됩니다. 인증 토큰들은 iCloud와 동기화 된 윈도우나 맥 컴퓨터의 iCloud 제어판에서 자동으로 생성됩니다.

"토큰을 사용하여 로그인 하면, 패스워드와 사용자의 계정에 이중 인증이 설정 되어 있을 경우 보조 인증 단계를 우회할 수 있다. 결과적으로 iCloud 접근 경고는 사용자에게 전달 되지 않을 것이다."

이는 모니터링이 가능하다는 가능성을 의미하기 때문에 심각한 문제라고 볼 수 있습니다. 

"동기화 된 데이터를 범죄 과학 수사에 사용할 경우 큰 도움을 줄 것이다. 최상의 경우 하루에 한 번 생성 되는 클라우드 백업과는 달리, iCloud 동기화는 거의 실시간으로 작동한다. 용의자의 활동을 거의 실시간으로 추적할 수 있기 때문에, 감시 및 조사에 매우 유용하게 사용될 수 있을 것이다."

"사용자가 iCloud에서 브라우징 히스토리를 삭제하는 것은 거의 불가능하다고 볼 수 있기 때문에, 불법 행위를 발견하는 것은 훨씬 쉬워질 것이다. 사용자가 브라우저 기록을 삭제하거나 iPhone을 초기화해 버리더라도, 전문가들은 극단주의 적이거나 불법인 웹사이트들의 방문 기록을 복구할 수 있게 될 것이다."라고 밝혔습니다. 

하지만 애플이 iCloud 서비스가 삭제된 기록을 저장하고 있다는 사실을 알고 있는지 여부는 불분명합니다. 

애플은 코멘트 요청에 즉시 응답하지는 않았지만, 해당 이슈가 공개된 이후부터 애플이 iCloud에서 오래된 브라우저 히스토리들을 제거하기 시작했다고 밝혀졌습니다. 

iCloud 사용자들은 사파치 브라우징 히스토리 동기화를 비활성화 하기를 권고드립니다. 

출처 : 

http://securityaffairs.co/wordpress/56197/mobile-2/pull-safari-browsing-history.html