최근 들어 iOS를 노린 취약점들이 속속 발견되면서 애플의 대응도 분주해지고 있다. 애플은 미국 시간으로 21일 최신 버전인 iOS9.1에서 발견된 49개 취약점을 해결하는 보안업데이트를 제공한다고 공지했다. 이러한 취약점들은 아이폰4S 이후 버전과 5세대 아이팟 터치, 아이패드2 이후 버전에 적용될 수 있다.(관련링크)
공지에 따르면 여기에는 아이폰 탈옥으로 유명한 중국 '판구(PanguTeam)'팀이 이달 초 공개한 iOS9용 탈옥툴이 활용한 2개 취약점에 대한 대응을 포함한다. 탈옥은 안드로이드폰에서 말하는 루팅과 같은 말로 기기에 대한 모든 권한을 획득해 일반 사용자들에게 제약이 있었던 여러 기능들을 마음대로 수정해 쓸 수 있게 만드는 것을 말한다. 이들은 모두 자신의 기기를 조작하는 것이기 때문에 불법은 아니지만 보안이 취약해지는 탓에 다른 공격자들의 추가적인 공격에 노출될 가능성이 높아진다.
판구팀이 발견한 2개 취약점에 대해 애플측은 '힙버퍼오버플로(Heap buffer overflow)'라는 취약점 공격을 통해 악성앱이 마치 아이폰을 탈옥시키는 것과 같은 권한상승효과를 낼 수 있다고 설명했다. 다른 취약점은 악성앱이 '메모리커럽션(Memory Corruption)' 공격으로 커널 영역에 악성코드를 삽입할 수 있게 하는 것이다.
관련기사
- 세계 최대 iOS 앱 다운로드 국가는 중국2015.10.22
- [카드뉴스]iOS9의 기능을 한자리에2015.10.22
- "아이폰6S에 의문의 셧다운 버그 발생"2015.10.22
- iOS9업데이트, 멈춤 현상 등 버그 수정2015.10.22
일단 iOS9.1로 업데이트하면 이러한 취약점들이 제거되며, 판구팀은 애플이 보안업데이트를 발표한 당일에 마찬가지로 업데이트된 탈옥툴을 공개했으나 아직까지 iOS9.1에서는 작동하지 않는 것으로 나타났다.
이외에 애플은 아이폰, 아이패드 등의 커널 영역을 조작해 서비스거부(DoS) 공격을 초래하거나 아이폰 잠금화면에 상대방이 보낸 메시지나 전화내역 등이 표시되는 설정을 껐는데도 관련 정보를 강제로 보여지게 할수 있는 취약점도 발견돼 대응이 이뤄졌다.