아이폰의 iOS5 버전 사용자들이 사파리 브라우저로 검색할 때 가짜 URL을 찾아 진짜처럼 보여주는 사파리 버그가 발견됐다.
씨넷은 24일 넥스트웹을 인용, iOS5사용자들이 사파리 웹브라우저로 웹사이트를 검색할 때 이처럼 사용자도 모르는 웹사이트로 빠져들게 하는 사파리 버그가 등장했다며 경계경보를 발령했다.
버그는 이달 초 독일 보안회사 메이저시큐리티에 의해 발견됐다. 버그는 사이버범죄자들이 사용자들을 잘못된 인터넷주소(URL)로 이끌어 내도록 해준다. 메이저시큐리티의 데이비드 비에라쿠르즈는 “이 약점은 자바스크립트의 윈도닷오픈()방식을 사용할 때 URL을 다루는 범위 안의 에러에 의해 발생한다.
그는 “이것은 잠재적으로 사용자들을 속여 예민한 정보를 사악한 웹사이트로 제공할 수도 있는데 이는 어드레스바에 표시된 정보가 특정한 방식으로 구성될 수 있기 때문이다. 이같은 방식으로 가짜 URL은 사용자들에게 표시된 (가짜)웹사이트가 아닌 또다른 (진짜)웹사이트를 방문하고 있는 것처럼 착각하게 만든다”고 말했다.
이 사파리버그가 최초로 발견된 것은 iOS5에서였는데 이 취약점은 iOS5.1에서도 재생산되고 있었다.
이 보안회사는 모든 iOS5.1 OS를 사용하고 있는 아이폰4,아이폰4S,아이패드2,새아이패드 등 모든 제품에서 이 버그를 발견했다.
애플은 지난 3월 3일 메이저시큐리티를 통해 버그상황을 보고 받았지만 지난 20일까지 이런 상황이 공개되지 않았다.
넥스트웹은 애플이 이 문제를 인정한 만큼 차기iOS업데이트에서 수정 패치를 내야 했었다고 지적했다.
하지만 현재로서는 사파리사용자들은 믿을 수없는 사이트를 열지 말 것과 개인정보를 물어보는 사이트에 대해 조심해야 한다는 일반적인 충고를 받아들이는 수밖에 없다.
관련기사
- "오페라 브라우저가 유일한 크롬-사파리 대항마"2012.03.26
- 애플, 사파리 확장 기능 제공 사이트 공개2012.03.26
- 구글, 애플 사파리 지원 '기어스' 베타판 발표2012.03.26
- 윈도우 판「사파리 3.0」에서 또 취약성 발견2012.03.26
호기심 많은 iOS5 사용자들은 메이저시큐리티가 요약한 다음 단계를 통해 버그를 재생산하도록 할 수 있을 것이다. 우선 자신의 모바일기기를 통해 다음 사이트http://majorsecurity.net/html5/ios51-demo.html 를 방문한다. 그리고 위왼쪽의 시연 버튼을 누른다. 그러면 기대하는 모든 콘텐츠가 있는 새로운 애플 앱용 URL용 페이지가 열린다. 그러면 당신은 새로운 앱사이트에 왔다고 믿게 될 것이다. 그러나 이 페이지는 실제로 여전히 메이저시큐리티의 도메인에 있는 페이지다.
애플은 씨넷의 확인요청에 즉각 답하지 않았다. 그러나 메이저 시큐리티는 사용자들에게 패치가 나오면 즉각 업데이트하라고 권고했다.