제목의 길이제한 때문에 수정하였습니다.
지난 3월에 아이폰과 아이패드에 영향을 미치는 심각한 보안 취약점이 발견되었습니다. 그리고 이상하게도 아무도 이에 대해 언급하지 않았습니다.
"Mysk"라는 이름의 ios 개발자 2인은 자신들이 조사한 내용을 밝혔습니다. 이들은 아이폰을 맥에 연결했고 Xcode를 통해 앱이 무엇을 하고 있는지 기록했습니다.
이들는 많은 앱들이 클립보드에 엑세스하고 있다는 것을 알게 되었고 복사한 내용들이 정당한 이유 없이 그대로 유지 저장됩니다. 설상가상으로 이러한 행위는 사용자가 전혀 동의하지 않았을 뿐만 아니라 전혀 알지 못합니다.
이들는 애플에게 조사한 결과를 제출했지만 애플은 이것이 의도된 것으로 전혀 문제가 없다고 답변했습니다.
사람들은 전화번호, 주소, 신용카드 정보, 그리고 가장 중요한 암호와 2단계인증코드를 클립보드에 복사하는 경우가 많습니다.
Mysk는 이러한 클립보드 정보를 훔쳐가는 키보드가 아닌 앱이 상당수 있음을 밝혔습니다. 여기에는 뉴스, 게임, 소셜 미디어, 날씨, 여행, 쇼핑 등의 앱이 있습니다.
잠재적인 더 큰 문제는 비밀번호 유출보다 2단계인증입니다. 2단계인증은 당신의 비밀번호가 추측당하거나 유출당할 수 있기 때문에 추가하는 것 입니다.
다행이도 2단계인증 코드는 시간제한 때문에 매우 빠르게 만료되어 공격자가 공격을 하기 어렵게 만듭니다. 하지만 이러한 문제는 다음과 같은 질문을 던집니다. 왜 이런 일이 애플기기에서 일어나는 것일까요?
애플은 수년간 사람들의 기본 인권인 사생활보호에 대해 말뿐이 아니라 실제로 사용자 데이터를 보호하고 판매하지 않기에 사생활과 보안에 끊임없이 노력하고 있다고 이야기해왔습니다. 이것은 과거에 있었던 애플의 다른 사례와 마찬가지로 사용자 데이터를 악용하는 구글에 대비되는 홍보를 위한 말일 뿐입니다.
새로운 ios14에서는 이를 부분적으로 해결할 수 있습니다. 앱이 클립보드에 접근할 때 사용자에게 경고하는 애매한 기능이 포함되어 있습니다. 애플은 클립보드 접근이 문제가 되지 않는다고 말했지만 ios14에서는 이를 보완하기 위한 경고 기능을 추가했습니다.
명확히 하자면 ios14은 클립보드의 정보에 접근하는 것을 알려줄 뿐 이러한 동작을 방지하지도, 엑세스를 허용하고 차단하는 기능을 제공하지도 않습니다.
반면 안드로이드는 안드로이드10 이후 클립보드에 대한 앱의 접근을 아예 차단했습니다. 유일한 예외는 키보드 앱입니다.
슬프게도 맥루머스가 이 문제를 다루는 짧은 기사를 냈지만 여기서도 그들은 이 문제를 긍정적으로 포장했습니다.
(IP보기클릭)223.38.***.***
어....? 설마?
(IP보기클릭)222.239.***.***
보안의 애플이라고 하기엔 뭥미 싶은 소식이더군요-_-;;; 틱톡이 대표자가 되어 조롱받고 있긴 한데, 그것보다도 지금까지(?) 다른 앱들도 그냥 저렇게 할 수는 있었다(하지는 않았겠지만)는 점이 충격적... 애플이 자랑하는 앱 검수라는 것도 그저 가이드라인 따라서 체크리스트 체크하는 거였나 싶을 정도
(IP보기클릭)112.169.***.***
짱ㅇ깨가 짱ㅇ깨 했네
(IP보기클릭)210.92.***.***
짱■산 뜨듯한 조꼭지 못 놓친다는 얘기.
(IP보기클릭)116.124.***.***
검수자 맘대로입니다 진짜. 전에 회사 앱 업데이트 심의 넣어서 리젝먹어서 (사유도 안알려줍니다. ㅡㅡ 사유 알려주는건 "편의"를 위해서 가끔 알려줄뿐이지 그쪽 의무가 아니라서) 소스쪽에 뭔가 문제있나 열심히 뒤졌는데 알고보니까 업데이트때 앱스토어 사진이 무슨 구도가 이상한거였는지 해상도가 안맞는거였는지 해서 리젝을 먹인거였습니다. 아니 진짜 리젝먹인것까진 이해할수있는데 사유는 알려줘야지 며칠을 사람들 삽질하게 만드는 애플은 진짜...개발사 입장에선 더럽기 그지 없는 회사죠
(IP보기클릭)112.169.***.***
짱ㅇ깨가 짱ㅇ깨 했네
(IP보기클릭)175.223.***.***
(IP보기클릭)223.38.***.***
어....? 설마?
(IP보기클릭)110.70.***.***
(IP보기클릭)210.92.***.***
짱■산 뜨듯한 조꼭지 못 놓친다는 얘기.
(IP보기클릭)222.239.***.***
보안의 애플이라고 하기엔 뭥미 싶은 소식이더군요-_-;;; 틱톡이 대표자가 되어 조롱받고 있긴 한데, 그것보다도 지금까지(?) 다른 앱들도 그냥 저렇게 할 수는 있었다(하지는 않았겠지만)는 점이 충격적... 애플이 자랑하는 앱 검수라는 것도 그저 가이드라인 따라서 체크리스트 체크하는 거였나 싶을 정도
(IP보기클릭)106.247.***.***
생각해보면 당연한거 같아요... 앱 개발자가 정말 고도의 기술로 숨기려고 작정해서 개발을 했다면 동등한 레벨의 해석능력을 가진 사람이 뜯어봐서 판단해야 한다는건데 그런사람이 뭐하러 앱 검수를 하고 있을까요 | 20.06.26 12:24 | | |
(IP보기클릭)106.247.***.***
물론 잘했다는 말이 아닙니다; | 20.06.26 12:25 | | |
(IP보기클릭)116.124.***.***
[삭제된 댓글의 댓글입니다.]
100kg
검수자 맘대로입니다 진짜. 전에 회사 앱 업데이트 심의 넣어서 리젝먹어서 (사유도 안알려줍니다. ㅡㅡ 사유 알려주는건 "편의"를 위해서 가끔 알려줄뿐이지 그쪽 의무가 아니라서) 소스쪽에 뭔가 문제있나 열심히 뒤졌는데 알고보니까 업데이트때 앱스토어 사진이 무슨 구도가 이상한거였는지 해상도가 안맞는거였는지 해서 리젝을 먹인거였습니다. 아니 진짜 리젝먹인것까진 이해할수있는데 사유는 알려줘야지 며칠을 사람들 삽질하게 만드는 애플은 진짜...개발사 입장에선 더럽기 그지 없는 회사죠 | 20.06.26 12:32 | | |
(IP보기클릭)211.176.***.***
(IP보기클릭)114.207.***.***
(IP보기클릭)221.152.***.***
(IP보기클릭)221.152.***.***
심지어 이 글 본문에서도 이 문제는 명백히 애플의 문제임에도 평소에는 보안을 떠들어대던 커뮤니티들은 이 문제에 대해 침묵하고 있다고 써져 있는데 그걸 보고도 부끄러움도 없이 여전히 애플이 비판받아야 할 보안문제에 대해 중국문제로 물타기 하고들 계신거 보니 정말 대단들 하십니다. | 20.06.26 12:04 | | |
(IP보기클릭)203.132.***.***
그나마 루리웹이니까 이런 글도 올라오고 이런 댓글도 올라오죠. 클리앙 같은 곳에서는 정보게시판에도 틱톡의 문제인 양 제목 단 게시물 하나 올라왔고, 댓글란에도 이런 지적은 전무하더군요 | 20.06.26 17:54 | | |
(IP보기클릭)175.223.***.***
(IP보기클릭)117.111.***.***
(IP보기클릭)121.161.***.***
(IP보기클릭)223.62.***.***
(IP보기클릭)112.217.***.***
(IP보기클릭)126.51.***.***
(IP보기클릭)39.7.***.***
(IP보기클릭)211.44.***.***
(IP보기클릭)203.132.***.***
원래 거짓이었음. 덤으로 맥OS도 마찬가지 | 20.06.27 15:43 | | |