iOS 12의 Siri 해킹 취약점, 잠금 우회하여 주소록과 사진에 접근
CVE-2018-4379, 4380
iPhone XS를 비롯해 최신 iOS 12를 구동하는 아이폰에서 암호 없이 잠금을 우회할 수 있는 취약점이 발견됐다. 잠금을 완전히 해제하는 수준은 아니고, 주소록과 그에 연결된 일부 폴더에만 접근할 수 있다.취약점 이용에는 2개의 전제 조건이 필요하다. 첫째로 음성 비서 시리가 잠금 화면에서도 작동하도록 설정되야 한다. 다음으로 얼굴 인식 기능인 Face ID가 작동하지 못하게 해야 한다. 설정이 꺼져 있거나 카메라를 가리는 식으로 말이다.
이 조건이 충족된 상태에서 시리와 VoiceOver라는 접근성 기능의 버그를 이용해 다소 복잡한 절차를 거쳐 주소록에 접근할 수 있다. 그리고 주소록에 있는 사람의 사진을 편집하는 기능을 이용해 사진 폴더에 접근할 수 있다.
아직 패치가 나오지 않은 제로데이 상태이므로, 잠금 상태에서 시리가 작동하지 않도록 설정하는 것이 유일한 대응책이다.
근래들어 iOS의 잠금을 우회하는 취약점은 새 버전이 나올 때마다 반복되고 있다. 그리고 iOS 9.3.1에서는 시리의 취약점으로 잠금 상태에서 트위터를 검색하고 주소록과 사진에 접근할 수 있는, 이번과 비슷한 버그가 발견됐었다.
Windows 10의 경우에도 비슷한 일이 있었다. 코타나의 취약점으로 잠금을 우회하여 기기를 완전히 장악할 수 있는 것이었다.
사용의 편리를 위해 잠금 상태에서도 시리나 코타나 같은 음성 비서의 작동을 열어두는 데서 계속해서 취약점이 발견되고 있다.
10.9 업데이트
이 취약점은 iOS 12.0.1에서 해결됐으며 CVE-2018-4379, 4380으로 등록됐다.관련 자료
참고 자료
댓글
댓글 쓰기