얼마 전 특정 문자열을 발동시키면 아이폰의 와이파이 기능을 마비시킬 수 있게 해 주는 취약점이 발견돼 화제가 된 적이 있습니다. 애플은 이를 부랴부랴 패치했습니다. 그런데 이 취약점을 더 연구했더니 새로운 특성이 나타났습니다.
페가수스 프로젝트(Pegasus Project)라고 하는 대형 스파이웨어 스캔들 때문에 주가까지 하락한 애플의 아이폰에서 엎친 데 덮친 격으로 아직 패치가 되지 않은 취약점이 발견됐습니다. 원격 코드 실행을 가능하게 하는 취약점으로, 얼마 전 아이폰 와이파이 기능에서 발견된 디도스 취약점과 깊은 관련이 있는 것으로 알려져 있습니다.
[이미지 = freepik]
원래 문제가 됐던 것은 iOS 14.6 버전에서 발견된 디도스 취약점으로, 지난 정기 패치를 통해 해결이 된 바 있습니다. 애플은 이 취약점에 CVE 번호를 부여하지 않았습니다. 하지만 보안 업체 젝옵스(ZecOps)가 분석한 결과, 이 취약점을 통해 원격 코드 실행 공격을 하는 것이 가능하다는 걸 알아냈습니다. 해당 취약점의 이러한 특성을 모르는 상태에서 애플이 패치를 진행했기 때문에 현재 완전히 최신화 된 아이폰이라 하더라도 원격 코드 실행 공격이 가능하다는 뜻이 됩니다.
젝옵스 측은 이 취약점에 와이파이데몬(WiFiDemon)이라는 이름을 붙였습니다. 와이파이데몬 익스플로잇에 성공할 경우 공격자는 원격 코드 실행을 통해 장비를 완전히 장악할 수 있게 되고, 따라서 민감한 데이터를 마음껏 훔쳐낼 수 있게 된다고 합니다. 애플도 패치를 마련 중에 있는 것으로 알려져 있습니다.
먼저 이번에 발견된 취약점과 밀접한 관련이 있다는 디도스 취약점은, 일종의 ‘열형식(string-format) 취약점’이라고 알려져 있습니다. SSID(서브시스템 식별명)를 %p%s%s%s%s%n로 설정하여 접근점에 연결할 경우 와이파이 기능이 비활성화 된다는 것이 이 취약점의 핵심입니다. 이러한 열형식 취약점은 OS가 특정 문자들을 명령으로 잘못 인식하여 생기는 현상입니다. 이 디도스 취약점의 경우 %와 특정 문자들의 결합을 iOS가 명령으로 인식했습니다.
젝옵스는 이 취약점의 근원을 좀 더 깊이 있게 파악하기 위해 연구를 진행했다고 합니다. 그 결과 와이파이 연결과 관련이 있는 프로토콜들을 처리하는 시스템 데몬 중 하나인 wifid에서 원격 코드 실행 취약점이 있음을 알게 되었습니다. 이 wifid는 루트에서 실행된다고 합니다. 공격자들은 여러 개의 와이파이 핫스팟들을 구축하되 이름에 %@라는 문자열이 들어가게 설정하면 이 취약점을 익스플로잇 할 수 있게 됩니다. 오브젝티브C(Objective-C)라는 프로그래밍 언어에서 명령어로 활용되는 문자들입니다. 전형적인 UaF 취약점처럼 발동되고, 공격자는 코드 실행 상태에 돌입할 수 있게 된다고 젝옵스는 설명합니다.
UaF(Use after Free) 취약점은 프로그램 실행 상황에서 동적 메모리가 잘못 활용될 경우 발동됩니다. 메모리 할당 위치가 비워진 이후에도 메모리를 가리키는 포인터가 제대로 삭제되지 않는 현상을 말합니다. 공격자들은 이 오류를 활용해 여러 가지 프로그램을 해킹합니다.
젝옵스는 실험실에서의 ‘개념 증명 공격’을 실시함으로써 wifid의 익스플로잇에 성공할 수 있었다고 합니다. 공격에 소요된 장비는 10달러짜리 무선 동글 하나와 리눅스 가상 기계가 전부였습니다. 하지만 실제 해커들이 이 취약점을 공략한 사례는 아직 찾아보지 못했다고 합니다. 그럼에도 이 취약점에 주의를 기울여야 한다고 젝옵스는 설명합니다. 왜냐하면 원래의 와이파이 마비 취약점이 워낙 유명해졌기 때문입니다. 누구나 해당 취약점에 관심만 갖고 연구하면 찾아낼 수 있는 것이 이번 젝옵스가 발표한 취약점이라고 젝옵스는 강조합니다.
현재 일반 사용자들이 아이폰을 보호하기 위해 할 수 있는 일은 ‘설정 -> 와이파이 -> 핫스팟에 자동 연결(Auto-Join)로 들어가 “하지 않음(Never)” 옵션을 활성화시키는 것입니다. 또한 확실히 신뢰할 수 없는 정체불명의 와이파이 핫스팟에 연결시키지 않는 건 항상 권장되는 보안 실천 사항이기도 합니다. 젝옵스는 “처음 보는 핫스팟 이름에 @와 같은 기호가 있다면 무조건 거르라”고 권장합니다.
출처 : 보안뉴스