애플 에어태그 보안취약점, 피싱 사이트로 유도할 수 있어
- Stellist
- 조회 수 248
- 2021.09.29. 10:05
애플 에어태그의 보안취약점이 선의의 제 3자를 피싱 사이트로 유도할 수 있는 것으로 확인됐습니다.
에어태그를 분실모드로 설정하면, 자동으로 에어태그 소유자의 휴대폰 번호나 이메일 등의 정보를 확인할 수 있는 페이지가 생성됩니다. 분실된 에어태그를 발견한 아이폰 또는 안드로이드폰 사용자는 NFC를 이용해 스캔하면 해당 페이지에 연결되어 주인과 연결을 취할 수 있습니다.
그러나 KrebsOnSecurity의 보안 컨설턴트 Bobby Raunch가 확인한 바에 따르면, 이 분실모드가 보안 취약점으로 작동했습니다. 그는 분실모드를 악용하여 사용자가 아이클라우드 아이디와 비밀번호를 입력하는 피싱사이트, 혹은 악성코드를 담은 다른 사이트로 연결을 유도할 수 있는것을 발견했습니다.
그는 6월 20일 애플에 연락을 취했고, 애플이 조치를 취하지 않을 경우 통상적인 보안 취약점 발견 프로토콜에 따라 90일 후 이것을 대중에 공개할 것이라고 말했습니다.
그러나 애플은 3개월간 아무 업데이트도 제공하지 않다가, 지난주 목요일 그에게 연락해 "곧 업데이트를 통해 해결할테니, 이 취약점을 공개하지 말아달라"고 말했습니다. 하지만 Raunch는 애플이 업데이트에 대한 상세한 정보를 제공하지 않았고, 이것이 애플의 버그 바운티 프로그램에 해당하는지 문의한것도 응답하지 않는 등 소통의 부재때문에 일반적인 프로토콜에 따라 90일이 지난 현재 이 취약점을 공개했습니다.
아직 이 문제에 대한 패치가 언제 이뤄질지는 알 수 없습니다.