애플 '에어드롭' 이용 시 전화번호 유출될 수 있다

블루투스 패킷 속 정보로 복구 가능

컴퓨팅입력 :2019/08/02 17:41

애플 기기에서 블루투스로 파일을 무선 전송하는 '에어드롭' 기능을 사용할 때 기기 전화번호가 유출될 수 있다는 분석이 나왔다.

보안업체 헥스웨이는 자사 블로그를 통해 애플 기기에서 블루투스를 활성화할 때 송출되는 해시함수를 통해 전화번호 도출이 가능하다고 소개했다.

블루투스를 활성화하면 기기는 기기 이름과 와이파이 활성화 여부, 사용하는 운영체제 버전 및 상태, 배터리 관련 정보 등이 담긴 블루투스 패킷을 주변 기기들에 전송하게 된다.

여기에는 해시함수인 SHA-256의 일부분도 담겨 있다. SHA-256은 어떤 숫자나 텍스트를 입력하면 256비트로 이뤄진 2진수 값을 출력하는 함수로, 암호화에 사용된다.

관련기사

애플 전문 분석가 밍치궈 분석가가 애플이 2020년 아이폰의 노치 크기를 줄일 수 있을 것으로 전망했다. (사진=씨넷)

에어드롭을 사용해 파일, 이미지 등을 공유하는 경우 기기 전화번호에 대한 SHA256을 전송하게 된다. 와이파이 암호 공유 기능을 사용할 때에는 사용자 이메일 주소, 애플 계정 일부도 포함한다. 해시는 첫 3바이트만 전송된다. 헥스웨이는 이것만으로도 전체 전화번호를 복구하기 충분한 정보가 될 수 있다고 지적했다.

헥스웨이는 이를 증명하는 데모 영상을 함께 게재했다. 아울러 iOS 10.3.1 버전부터 이번 현상을 감지했으며, 블루투스 기능을 비활성화하는 것만이 해법이라고 설명했다.