– 2019년 독일 다름슈타트 기술대학의 보안 연구진은 애플 에어드랍 공유 기능에 공격자가 사용자들의 전화번호와 이메일 주소를 근거리에서 Wi-Fi 가능 기기를 이용해 해킹할 수 있는 취약점이 있음을 발견. 당시 연구진은 이를 애플에게 경고했으나, 회사는 아무 조치를 취하지 않음. 2년 후 같은 연구진이 취약점 수정방안을 애플에 제안했으나 애플은 또다시 이를 무시
– 최근 중국 사법당국은 경찰이 베이징 지하철에서 ‘부적절한 정보’를 주변인들에게 퍼뜨리는 데 에어드랍을 이용한 용의자들을 중국 기술기업 왕셴둥지엔 테크놀로지의 도움을 받아 파악하는 데 성공했다고 발표
– 에어드랍은 애플기기 사용자들이 가까이에 위치한 다른 사용자들과 무선으로 직접 파일을 공유할 수 있게 해주는 애플의 독자 프로토콜. 에어드랍은 양쪽 사용자들이 모두 오프라인 상태여도 블루투스와 P2P 와이파이의 조합을 이용해 빠르고 간단한 로컬 무선 공유가 가능
– 에어드랍 사용자들은 이미 연락처에 있는 상대방으로부터의 메시지 수신만을 허용하는 ‘연락처만’ 모드를 통해 취약점에 노출됨. 다름슈타트 연구진은 연결 대상이 연락처에 있는지 판단하는 에어드랍 연결의 양 끝단이 연락처 정보의 비밀을 적절히 보호하지 못하는 네트워크 패킷을 이용한다는 점을 발견
– 실제로 왕셴둥지엔 테크놀로지는 암호화 텍스트를 원문으로 변환해 발신자의 휴대전화 번호와 이메일 계정을 특정해주는 레인보우 테이블(*해시 함수를 사용하여 변환 가능한 모든 해시 값을 저장시켜 놓은 표. 해시 함수를 이용하여 변환된 정보로부터 원래의 정보를 추출해 내는데 사용)을 만들어 에어드랍의 발신자 기기명, 이메일 주소, 전화번호 해시 값을 우회해 파악할 수 있었음
– 다름슈타트 연구진의 경고가 그대로 실현된 것. 즉, 무차별 대입 공격과 같은 단순한 기법으로 해시 값을 빠르게 되돌릴 수 있기 때문에 에어드랍의 해싱 기능이 연락처 정보의 비밀을 보호하는 데 실패했음을 의미
– 중국이 에어드랍 해킹에 성공했다는 뉴스는 미국 의회와 인권 단체에서 반향을 일으킴. 상원 정보위원회를 이끄는 공화당 플로리다 상원의원 Marco Rubio는 애플이 “그렇게 노골적인 보안 침해로부터 사용자들을 보호하지 못한데 책임을 져야 한다”고 발언. 중국에서의 인터넷 검열을 모니터링하는 Greatfire.org의 캠페인 및 홍보 책임자 Benjamin Ismail은 “이 보안 침해는 중국이 적으로 인식하는 어떤 애플 사용자도 표적으로 삼을 수 있는 그저 또 다른 방법일 뿐”, “애플이 이번 사태에 대한 대응을 투명하게 공개하는 것이 필수적”이라고 코멘트
– 한편 애플은 이번 사건에 대한 여러 매체의 논평 요청에 침묵을 유지
출처 :https://www.clien.net/service/board/news/18529280?od=T31&po=0&category=0&groupCd=
