Apple 기기가 훨씬 더 안전해지는 이유는 다음과 같습니다.

Apple 장치는 보안 및 개인 정보 보호 기능으로 유명하지만 해킹이나 기타 공격에 취약하지 않습니다. 운 좋게도 Apple 장치는 앞으로 훨씬 더 안전해질 것입니다.

관련된:

• WWDC에서 발표된 iOS 13 개인 정보 및 보안 개선 사항
• 다음은 macOS Mojave 및 iOS 12에 제공되는 새로운 보안 및 개인 정보 보호 기능입니다.
• Mac 보안 및 바이러스 방지를 위한 팁

이는 이번 달 라스베이거스에서 열린 Black Hat 보안 컨퍼런스에서 발표된 최근 Apple 정책 변경 때문입니다. 그 외에도 Black Hat 및 Def Con 2019에서 공개된 몇 가지 주목할만한 익스플로잇이 있습니다.

최근 Apple 보안 뉴스에 대해 알아야 할 사항은 다음과 같습니다.

Apple의 보안 정책 변경 사항

Apple의 보안 엔지니어링 책임자인 Ivan Krstić은 올해 Black Hat 컨퍼런스에서 몇 가지 중요한 발표를 했습니다.

이번 발표는 윤리적인 해커와 보안 연구원을 대상으로 했지만 Apple의 보안 정책에 대한 주요 변경 사항을 나타냅니다. 이는 앞으로 훨씬 더 안전한 장치로 이어질 수 있습니다.

버그 바운티 프로그램

올 8월 Black Hat 보안 컨퍼런스에서 Apple과 관련된 가장 큰 뉴스는 Apple의 버그 바운티 프로그램이 크게 확장되었다는 것입니다.

기본적으로 버그 현상금 프로그램은 윤리적인 해커와 보안 연구원이 기존 플랫폼을 강화하는 데 도움이 되는 방법입니다. 예를 들어 iOS에서 버그나 취약점을 발견하면 해당 결함을 Apple에 보고하고 그에 대한 대가를 받습니다.

변경 사항에 대해 Apple은 버그 바운티 프로그램을 macOS 장치로 확장하고 있습니다. 또한 현상금의 최대 규모를 익스플로잇당 $200,000에서 익스플로잇당 100만 달러로 늘립니다. 물론 그 정도에 따라 다릅니다.

Apple은 2016년에 iOS 버그 바운티 프로그램을 처음 도입했습니다. 그러나 올 8월까지는 macOS용 프로그램이 없었습니다(본질적으로 Apple의 모바일 운영 체제보다 공격에 취약합니다).

독일 해커가 처음에 특정 결함에 대한 세부 정보를 Apple에 보고하기를 거부했을 때 문제가 발생했습니다. 해커는 결국 애플에 세부 정보를 제공했지만 지불 부족을 이유로 들었다.

탈옥 전 iPhone

Apple은 또한 검증된 해커와 보안 연구원이 iOS를 해킹할 수 있도록 특수 iPhone을 제공할 것입니다.

iPhone은 iOS의 소비자 버전에 적용된 많은 보안 조치가 결여되어 있는 탈옥 전 "개발자" 장치로 설명됩니다.

이러한 전문화를 통해 침투 테스터는 기본 소프트웨어 시스템에 훨씬 더 많이 액세스할 수 있습니다. 그렇게 하면 소프트웨어의 취약점을 훨씬 쉽게 찾을 수 있습니다.

iPhone은 내년에 출시할 예정인 Apple의 iOS Security Research Device Program의 일부로 제공될 예정입니다.

앞서 언급한 "개발자" iPhone에 대한 암시장이 존재한다는 점은 주목할 가치가 있습니다.

올해 초 마더보드 보고서에 따르면 이러한 시험판 iPhone은 때때로 Apple 생산 라인에서 밀반출됩니다. 거기에서 그들은 종종 도둑, 해커 및 보안 연구원에게 도달하기 전에 높은 가격을 얻습니다.

주목할만한 취약점

보안정책의 변화와 해커 아이폰이 블랙햇과 데프콘의 가장 큰 뉴스인 반면, 보안 연구원과 화이트 햇 해커도 다수의 주목할만한 Apple 관련 정보를 공개했습니다. 취약점.

Apple 장치를 사용하고 데이터 개인 정보 보호 및 보안을 유지하려는 경우 유의해야 합니다.

페이스 ID 우회

Apple은 Face ID가 Touch ID보다 훨씬 더 안전하다고 말합니다. 그리고 실제로는 우회하기가 훨씬 더 어렵습니다. 그러나 이것이 익스플로잇이 존재하지 않는다는 것을 의미하지는 않습니다.

Tencent의 연구원은 Face ID의 "활성" 감지 시스템을 속일 수 있음을 발견했습니다. 기본적으로 이것은 사람의 실제 또는 가짜 기능을 구별하기 위한 수단이며 사람들이 잠을 잘 때 얼굴로 장치의 잠금을 해제하지 못하도록 합니다.

연구원들은 안경과 테이프만 사용하여 시스템을 속일 수 있는 독점적인 방법을 개발했습니다. 기본적으로 이러한 "가짜" 안경은 의식이 없는 사람의 얼굴에 있는 눈 모양을 모방할 수 있습니다.

그러나 이 익스플로잇은 의식이 없는 사람들에게만 작동합니다. 하지만 걱정스럽습니다. 연구원들은 잠자는 사람에게 가짜 안경을 착용할 수 있었습니다.

거기에서 그들은 그 사람의 기기를 잠금 해제하고 모바일 결제 플랫폼을 통해 자신에게 돈을 보낼 수 있습니다.

연락처 앱

벽으로 둘러싸인 정원 플랫폼인 Apple의 iOS 운영 체제는 공격에 상당히 강합니다. 부분적으로는 플랫폼에서 서명되지 않은 앱을 실행하는 쉬운 방법이 없기 때문입니다.

그러나 Def Con 2019에서 Check Point의 보안 연구원은 연락처 앱의 버그를 활용하여 해커가 iPhone에서 서명되지 않은 코드를 실행할 수 있는 방법을 찾았습니다.

취약점은 실제로 연락처 앱이 사용하는 SQLite 데이터베이스 형식의 버그입니다. (iOS 및 macOS에서 Windows 10 및 Google Chrome에 이르기까지 대부분의 플랫폼은 실제로 형식을 사용합니다.)

연구원들은 사용자의 비밀번호를 훔치는 스크립트를 포함하여 영향을 받는 iPhone에서 악성 코드를 실행할 수 있음을 발견했습니다. 또한 지속성을 얻을 수 있었습니다. 즉, 재부팅 후에도 코드를 계속 실행할 수 있습니다.

운 좋게도 취약점은 잠금 해제된 장치에 악성 데이터베이스를 설치하는 데 의존합니다. 따라서 해커가 잠금 해제된 iPhone에 물리적으로 접근하지 못하도록 하는 한 괜찮습니다.

악성 케이블

임의의 USB 드라이브를 컴퓨터에 연결하지 않는 것이 좋습니다. 최근 개발 덕분에 컴퓨터에 임의의 Lightning 케이블을 연결해서는 안 됩니다.

보안 연구원 MG가 개발해 올해 데프콘에서 선보인 해킹 전문 툴 'O.MG 케이블' 때문이다.

O.MG 케이블은 일반적인 Apple Lightning 케이블과 모양과 기능이 똑같습니다. iPhone을 충전하고 기기를 Mac 또는 PC에 연결할 수 있습니다.

그러나 케이블의 하우징 안에는 실제로 공격자가 컴퓨터에 원격으로 액세스할 수 있도록 하는 독점 임플란트가 있습니다. 연결되면 해커가 터미널을 열고 다른 작업 중에서 악성 명령을 실행할 수 있습니다.

운 좋게도 케이블은 현재 수작업으로만 제작되며 가격은 각각 $200입니다. 위험을 줄여야 합니다. 그러나 앞으로는 임의의 Lightning 케이블을 Mac에 연결하는 것을 피하고 싶을 것입니다.