로그인

검색

IT
2011.05.01 16:38

맥, 아이폰4의 보안

조회 수 1037 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 게시글 수정 내역 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 게시글 수정 내역 댓글로 가기 인쇄

사용된 컴퓨터는, 우분투 리눅스가 설치된 VAIO VGN-TZ37CN, 윈도우 비스타 Ultimate가 설치된 후지쯔 U810, 맥 OS X가 설치된 맥북 에어입니다.

3일에 걸쳐 열린 이번 행사는 각 날마다 해킹 조건이 달랐습니다.

첫째 날에는 원격, 즉 외부에서 네트워크 접속을 통해 해킹을 해야 합니다. 직접 컴퓨터를 만질 수 없으니, 가장 난이도가 높지요. 해킹에 성공하였을 경우 2만 달러의 상금을 받게 됩니다.

둘째 날에는 운영체제에 기본적으로 설치되는 소프트웨어를 해킹해야 합니다. 윈도우를 예로 들면 인터넷 익스플로러, 아웃룩 익스프레스 등에 해당하지요. 운영체제 개발사가 직접 만들고 테스트한 것이니까, 보안이 높을 것이라고 추측할 수 있지요. 하지만 첫째 날보다는 난이도가 낮아서, 상금 1만 달러를 받게 됩니다.

마지막 날에는 자체 프로그램 대신, 다른 여러 가지 소프트웨어를 설치한 후 해킹 시도를 하였습니다. 가장 난이도가 낮으며, 상금은 5천 달러입니다.

가장 먼저 뚫린 시스템은 맥입니다. 대회 둘째 날, Charlie Miller, Jake Honoroff, Mark Daniel로 이루어진 팀이 사파리 브라우저의 제로데이 취약점을 발견하여 2분 만에 해킹에 성공하였습니다.

그 다음으로 뚫린 시스템은 윈도우입니다. 대회 마지막 날, Shane Macaulay가 어도비 플래시의 제로데이 취약점을 발견하여 윈도우 비스타를 해킹하였습니다.

반면에 우분투 리눅스는 대회가 끝날 때까지 잘 버티는 모습을 보여주었습니다.

윈도우는 외부 프로그램, 즉 어도비 플래시가 해킹되었으니 억울하다고 쳐도, 얼마 전 공식 윈도우 버전까지 발표된 사파리가 뚫렸다는 것은 애플의 보안에 대해 시사하는 바가 있습니다.

물론, 이번 해킹 대회가 각 운영체제의 보안을 객관적으로 평가하는 것은 아닙니다. 겨우 3일이라는 한정된 기간에 누가 먼저 뚫리나를 가지고 보안성을 이야기하는 것은 말도 안 되지요. 하지만, 운영체제를 개발하거나 사용하는 입장에서 기분이 다를 것 같습니다.

CanSecWest PWN to OWN 2008

 

http://barosl.com/blog/723

참고로 3년전 이야기

 

 

캐나다 밴쿠버에서 3월10일 시작된 ‘Pwn2Own’ 해킹 대회에서 애플이 자존심을 구겼다. 애플 아이폰4가 대회 둘쨋날인 오늘 해커에 의해 뚫렸다. 아이폰 4G 해킹에 성공한 주인공은 찰리 밀러라는 보안 전문가다.

찰리 밀러는 모바일 버전 사파리의 취약점을 이용해 아이폰4 연락처 목록을 훔치는 데 성공했다. 찰리 밀러는 사용자 연락처에 접근하기 위해 아이폰의 DEP(Date Execution Prevention, 데이터 실행 방지) 코드를 우회했다. 찰리 밀러가 해킹한 아이폰4에는 애플 운영체제 iOS4.2.1이 설치돼 있었다.

찰리 밀러가 아이폰 해킹에 성공한 건 이번이 처음이 아니다. 지난 2007년 같은 대회에서 아이폰 2G를 해킹했고, 2008년에도 맥을 해킹하는 데 성공했다. 2009년에는 사파리의 보안을 무력화하며 문자메시지(SMS) 채팅 목록과 주소록, 통화기록, 음성통화 내역을 모두 해킹하는 데 성공해 상금 1만달러를 받았다. 지난해에는 10초 만에 사파리를 해킹하는 등 전적이 화려하다.

아이폰4에 이어 림(RIM) 블랙베리도 해커에 의해 함락됐다. 블랙베리 운영체제 6.0.0.246이 설치된 블랙베리 토치 9800은 빈센조 아이오조, 윌렘 핀케어스, 랄프 필립 웨인먼 세 명으로 이루어진 아논팀이 해킹에 성공했다.

아논팀은 블랙베리 운영체제의 버그를 밝혀내며 해킹에 성공한 것으로 알려졌다. 블랙베리는 최근 웹브라우저를 만드는 기반이 되는 오픈소스 애플리케이션인 웹킷을 추가했지만 여전히 DEP나 ASLR과 같은 보안 코드는 적용하지 않았다.

이제 모바일 기기 분야에선 구글 안드로이드 운영체제를 사용하는 넥서스S와 윈도우7을 탑재한 델 베뉴 프로가 해커의 손길을 기다리고 있다.

한편, 애플은 웹브라우저 해킹 부문에서도 창피를 당했다. 어제 진행된 대회 첫날 사파리 웹브라우저가 불과 5초 만에 해커에 의해 뚫리는 수모를 당했다. 사파리를 해킹한 주인공도 찰리 밀러다.

마이크로소프트 IE8도 사파리와 나란히 대회 첫날 수모를 당했다. 아일랜드 보안 전문가 스테판 퓨어는 윈도우7 서비스팩1이 설치된 컴퓨터에서 IE8을 공격하는 데 성공했다.

이와 달리, 모질라재단의 파이어폭스와 구글 크롬은 해킹되지 않았다. 파이어폭스3.6 버전 해킹에 참여한 팀은 끝내 해킹에 성공하지 못했다. 크롬을 해킹하겠다고 나선 팀은 두 팀이었는데 그중 한 팀은 아예 대회장에 나타나지 않았다. 나머지 한 팀은 대회 둘쨋날 블랙베리를 해킹한 아논팀으로, 크롬 해킹을 시도하기도 전에 블랙베리를 해킹하는 데 집중하고 싶다며 크롬 해킹을 포기한 것으로 알려졌다. 구글이 크롬 해킹에 성공하는 팀에게 내건 상금 2만달러도 아직 고스란히 남아 주인을 기다리고 있는 셈이다.

내일 폐막하는 Pwn2Own 행사에서 과연 파이어폭스와 크롬, 넥서스S와 델 베뉴 프로가 해커에 의해 함락될 지 관심이 쏠린다.

 

 

http://www.bloter.net/archives/53186

이건 2개월전.

 

이 대회에 대한 다른 포스트 링크

 

 

잡스 신이라며 애플의 편리한 UI를 찬양하고 다니긴 하지만 보안 문제가 참 신경쓰이는구나.

2~3년 뒤면 스마트폰 보안 문제가 슬슬 나올듯.

 

크롬 짱.

?

List of Articles
번호 분류 제목 글쓴이 날짜 조회 수
382 교양 '노처녀가' MBC 스페셜 최초 모큐멘터리 기법 사용 비지 2011.07.16 1026
381 시사 '산케이 지국장 기소' 파문.. "대통령 명예 지키려고 국가의 명예 추락시켜" MoA 2014.10.11 553
380 과학 "화성에서 살래요"…지원자 10만 명 넘었다 MoA 2013.08.21 1061
379 시사 “韓國의 대북 지원, 긴장 완화 제스처”…NYT MoA 2013.12.21 624
378 시사 “강바닥 파내면 자정능력 상실…한강·낙동강 다 죽는다” Naya 2012.08.10 619
377 사설 “기자님, ‘네티즌 반응’은 왜 쓰나요?” MoA 2014.03.30 1083
376 시사 “청와대 지시로 디도스 금전거래 덮었다” Naya 2011.12.18 740
375 [23.11월 중장기 심층연구] 초저출산 및 초고령사회: 극단적 인구구조의 원인, 영향, 대책 - 한국은행 1 file OBG 2024.08.16 171
374 투자 [RSNA2022] 루닛의 AI 진단보조 RWD 연구가 가지는 의미는? OBG 2022.12.04 566
373 교양 [문학?]금도끼와 은도끼 모아레 2011.04.17 1090
372 투자 [반도체산업 시리즈] 완결편, 반도체 조립-테스트 아웃소싱(OSAT) 회사들 OBG 2024.02.27 462
371 교양 [스압]고래는 칭찬이 없으면 춤출 수 없다.jpg MoA 2011.05.07 859
370 교양 [심리학] 버튼을 누르지 않는 이유 모아레 2011.04.17 1006
369 과학 [칼럼]지금은 WCU의 활성화가 필요한 때 모아레 2009.06.30 551
368 IT [펌] 명박이형 전봇대 좀 뽑아줘 - 게임 심의 모아레 2011.01.08 663
367 투자 [플레이위드] 씰m 커뮤니티 OBG 2022.05.27 427
366 투자 '킹스레이드'의 베스파, 전 직원 권고사직 OBG 2022.07.06 170
365 투자 <IPO> 성일하이텍 - 폐배터리 리사이클링 최고 종목 OBG 2022.07.28 191
364 투자 "中 투자시 이건 꼭 알아야"…'헤지펀드 대부' 달리오의 조언 OBG 2021.08.03 152
363 투자 "이건희 회장도 못 사"..삼성도 포기한 꼬마빌딩 17년이 지난 현재 가격 OBG 2022.08.26 164
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 ... 20 Next
/ 20