애플의 새로운 모바일 운영체제인 iOS 11.1이 공개 하루 만에 보안 취약점이 발견됐다.
2일(현지시간) 일본 도쿄에서 열린 모바일 폰투오운(Pwn2Own) 2017 대회에서 중국 텐센트 킨 시큐리티 랩 소속 보안 연구원들은 iOS 11.1이 적용된 아이폰7에서 웹브라우저 사파리나 재부팅을 통해 내부 악성앱 방지 시스템을 무력화 시키는 방법으로 공격을 시도할 수 있는 2개 취약점을 발견했다고 발표했다.
이와 함께 리차드 추 연구원 역시 최신 iOS가 설치된 아이폰7 내 사파리에서 실행되는 샌드박스 기능을 우회해 악성코드를 실행할 수 있는 취약점을 발견했다.
보안회사 트렌드마이크로에 인수된 티핑포인트가 설립한 제로데이이니셔티브(ZDI)가 주최하는 폰투오운은 그동안 알려지지 않은 제로데이 취약점을 찾아내고 이를 해당 기업에 공유해 피해를 최소화하고 이런 취약점을 발견한 연구원들에게 상금을 지급하는 행사다.
텐센트 킨 시큐리티 랩 소속 연구원들과 리차드 추 연구원이 찾아낸 취약점들에 대해 아직 구체적인 사항은 공개되지 않았다. 일반적으로 이렇게 공개된 취약점들은 해당 회사에 공유해 보안 업데이트를 하거나 3개월 간 유예기간을 둔 뒤에 내용이 공개된다.
다만 애플이 언제 iOS 11.1에 대한 보안 업데이트를 진행할 지에 대한 구체적인 일정은 나오지 않았다.
관련기사
- 아이폰X 페이스ID, 기존 터치ID보다 느리다2017.11.03
- 애플, 맥OS-iOS 무선랜 보안구멍 메워2017.11.03
- NSA는 와이파이 취약점 '크랙(KRACK)' 미리 알았을까2017.11.03
- 구멍 뻥 뚫린 무선랜…사용자 대처법은2017.11.03
이날 대회에서 iOS 관련 취약점을 발표한 텐센트 킨 시큐리티 랩과 리차드 추 연구원들은 각각 4만5천달러, 2만5천달러 상금을 받았다.
미국 시간으로 지난달 31일 사용자들에게 배포된 iOS 11.1은 일명 크랙(KRACK)이라는 무선 네트워크 보안 취약점에 대한 패치에 더해 몇몇 보안 기능을 강화했다. 이 과정에서 애플은 19개 취약점을 수정했다고 밝히기도 했다.
