260만명 쓰는 '틱톡', 폰에 입력한 내용 몰래 긁어갔다

https://news.v.daum.net/v/20200626101350287

지난 3월에 아이폰과 아이패드에 영향을 미치는 심각한 보안 취약점이 발견되었습니다. 그리고 이상하게도 아무도 이에 대해 언급하지 않았습니다. 

"Mysk"라는 이름의 ios 개발자 2인은 자신들이 조사한 내용을 밝혔습니다. 이들은 아이폰을 맥에 연결했고 Xcode를 통해 앱이 무엇을 하고 있는지 기록했습니다.

이들는 많은 앱들이 클립보드에 엑세스하고 있다는 것을 알게 되었고 복사한 내용들이 정당한 이유 없이 그대로 유지 저장됩니다. 설상가상으로 이러한 행위는 사용자가 전혀 동의하지 않았을 뿐만 아니라 전혀 알지 못합니다.  

이들는 애플에게 조사한 결과를 제출했지만 애플은 이것이 의도된 것으로 전혀 문제가 없다고 답변했습니다. 

사람들은 전화번호, 주소, 신용카드 정보, 그리고 가장 중요한 암호와 2단계인증코드를 클립보드에 복사하는 경우가 많습니다.

Mysk는 이러한 클립보드 정보를 훔쳐가는 키보드가 아닌 앱이 상당수 있음을 밝혔습니다. 여기에는 뉴스, 게임, 소셜 미디어, 날씨, 여행, 쇼핑 등의 앱이 있습니다. 

잠재적인 더 큰 문제는 비밀번호 유출보다 2단계인증입니다. 2단계인증은 당신의 비밀번호가 추측당하거나 유출당할 수 있기 때문에 추가하는 것 입니다. 

다행이도 2단계인증 코드는 시간제한 때문에 매우 빠르게 만료되어 공격자가 공격을 하기 어렵게 만듭니다. 하지만 이러한 문제는 다음과 같은 질문을 던집니다. 왜 이런 일이 애플기기에서 일어나는 것일까요?

애플은 수년간 사람들의 기본 인권인 사생활보호에 대해 말뿐이 아니라 실제로 사용자 데이터를 보호하고 판매하지 않기에 사생활과 보안에 끊임없이 노력하고 있다고 이야기해왔습니다. 이것은 과거에 있었던 애플의 다른 사례와 마찬가지로 사용자 데이터를 악용하는 구글에 대비되는 홍보를 위한 말일 뿐입니다. 

새로운 ios14에서는 이를 부분적으로 해결할 수 있습니다. 앱이 클립보드에 접근할 때 사용자에게 경고하는 애매한 기능이 포함되어 있습니다. 애플은 클립보드 접근이 문제가 되지 않는다고 말했지만 ios14에서는  이를 보완하기 위한 경고 기능을 추가했습니다. 

명확히 하자면 ios14은 클립보드의 정보에 접근하는 것을 알려줄 뿐 이러한 동작을 방지하지도, 엑세스를 허용하고 차단하는 기능을 제공하지도 않습니다. 

반면 안드로이드는 안드로이드10 이후 클립보드에 대한 앱의 접근을 아예 차단했습니다. 유일한 예외는 키보드 앱입니다. 

슬프게도 맥루머스가 이 문제를 다루는 짧은 기사를 냈지만 여기서도 그들은 이 문제를 긍정적으로 포장했습니다.  

요약

앱개발자가 아이폰의 클립보드에 저장된 내용을 그냥 접근할 수 있음

틱톡이 그렇게 정보를 긁어감