로그인

검색

IT
2011.05.01 16:38

맥, 아이폰4의 보안

조회 수 1035 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 게시글 수정 내역 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 게시글 수정 내역 댓글로 가기 인쇄

사용된 컴퓨터는, 우분투 리눅스가 설치된 VAIO VGN-TZ37CN, 윈도우 비스타 Ultimate가 설치된 후지쯔 U810, 맥 OS X가 설치된 맥북 에어입니다.

3일에 걸쳐 열린 이번 행사는 각 날마다 해킹 조건이 달랐습니다.

첫째 날에는 원격, 즉 외부에서 네트워크 접속을 통해 해킹을 해야 합니다. 직접 컴퓨터를 만질 수 없으니, 가장 난이도가 높지요. 해킹에 성공하였을 경우 2만 달러의 상금을 받게 됩니다.

둘째 날에는 운영체제에 기본적으로 설치되는 소프트웨어를 해킹해야 합니다. 윈도우를 예로 들면 인터넷 익스플로러, 아웃룩 익스프레스 등에 해당하지요. 운영체제 개발사가 직접 만들고 테스트한 것이니까, 보안이 높을 것이라고 추측할 수 있지요. 하지만 첫째 날보다는 난이도가 낮아서, 상금 1만 달러를 받게 됩니다.

마지막 날에는 자체 프로그램 대신, 다른 여러 가지 소프트웨어를 설치한 후 해킹 시도를 하였습니다. 가장 난이도가 낮으며, 상금은 5천 달러입니다.

가장 먼저 뚫린 시스템은 맥입니다. 대회 둘째 날, Charlie Miller, Jake Honoroff, Mark Daniel로 이루어진 팀이 사파리 브라우저의 제로데이 취약점을 발견하여 2분 만에 해킹에 성공하였습니다.

그 다음으로 뚫린 시스템은 윈도우입니다. 대회 마지막 날, Shane Macaulay가 어도비 플래시의 제로데이 취약점을 발견하여 윈도우 비스타를 해킹하였습니다.

반면에 우분투 리눅스는 대회가 끝날 때까지 잘 버티는 모습을 보여주었습니다.

윈도우는 외부 프로그램, 즉 어도비 플래시가 해킹되었으니 억울하다고 쳐도, 얼마 전 공식 윈도우 버전까지 발표된 사파리가 뚫렸다는 것은 애플의 보안에 대해 시사하는 바가 있습니다.

물론, 이번 해킹 대회가 각 운영체제의 보안을 객관적으로 평가하는 것은 아닙니다. 겨우 3일이라는 한정된 기간에 누가 먼저 뚫리나를 가지고 보안성을 이야기하는 것은 말도 안 되지요. 하지만, 운영체제를 개발하거나 사용하는 입장에서 기분이 다를 것 같습니다.

CanSecWest PWN to OWN 2008

 

http://barosl.com/blog/723

참고로 3년전 이야기

 

 

캐나다 밴쿠버에서 3월10일 시작된 ‘Pwn2Own’ 해킹 대회에서 애플이 자존심을 구겼다. 애플 아이폰4가 대회 둘쨋날인 오늘 해커에 의해 뚫렸다. 아이폰 4G 해킹에 성공한 주인공은 찰리 밀러라는 보안 전문가다.

찰리 밀러는 모바일 버전 사파리의 취약점을 이용해 아이폰4 연락처 목록을 훔치는 데 성공했다. 찰리 밀러는 사용자 연락처에 접근하기 위해 아이폰의 DEP(Date Execution Prevention, 데이터 실행 방지) 코드를 우회했다. 찰리 밀러가 해킹한 아이폰4에는 애플 운영체제 iOS4.2.1이 설치돼 있었다.

찰리 밀러가 아이폰 해킹에 성공한 건 이번이 처음이 아니다. 지난 2007년 같은 대회에서 아이폰 2G를 해킹했고, 2008년에도 맥을 해킹하는 데 성공했다. 2009년에는 사파리의 보안을 무력화하며 문자메시지(SMS) 채팅 목록과 주소록, 통화기록, 음성통화 내역을 모두 해킹하는 데 성공해 상금 1만달러를 받았다. 지난해에는 10초 만에 사파리를 해킹하는 등 전적이 화려하다.

아이폰4에 이어 림(RIM) 블랙베리도 해커에 의해 함락됐다. 블랙베리 운영체제 6.0.0.246이 설치된 블랙베리 토치 9800은 빈센조 아이오조, 윌렘 핀케어스, 랄프 필립 웨인먼 세 명으로 이루어진 아논팀이 해킹에 성공했다.

아논팀은 블랙베리 운영체제의 버그를 밝혀내며 해킹에 성공한 것으로 알려졌다. 블랙베리는 최근 웹브라우저를 만드는 기반이 되는 오픈소스 애플리케이션인 웹킷을 추가했지만 여전히 DEP나 ASLR과 같은 보안 코드는 적용하지 않았다.

이제 모바일 기기 분야에선 구글 안드로이드 운영체제를 사용하는 넥서스S와 윈도우7을 탑재한 델 베뉴 프로가 해커의 손길을 기다리고 있다.

한편, 애플은 웹브라우저 해킹 부문에서도 창피를 당했다. 어제 진행된 대회 첫날 사파리 웹브라우저가 불과 5초 만에 해커에 의해 뚫리는 수모를 당했다. 사파리를 해킹한 주인공도 찰리 밀러다.

마이크로소프트 IE8도 사파리와 나란히 대회 첫날 수모를 당했다. 아일랜드 보안 전문가 스테판 퓨어는 윈도우7 서비스팩1이 설치된 컴퓨터에서 IE8을 공격하는 데 성공했다.

이와 달리, 모질라재단의 파이어폭스와 구글 크롬은 해킹되지 않았다. 파이어폭스3.6 버전 해킹에 참여한 팀은 끝내 해킹에 성공하지 못했다. 크롬을 해킹하겠다고 나선 팀은 두 팀이었는데 그중 한 팀은 아예 대회장에 나타나지 않았다. 나머지 한 팀은 대회 둘쨋날 블랙베리를 해킹한 아논팀으로, 크롬 해킹을 시도하기도 전에 블랙베리를 해킹하는 데 집중하고 싶다며 크롬 해킹을 포기한 것으로 알려졌다. 구글이 크롬 해킹에 성공하는 팀에게 내건 상금 2만달러도 아직 고스란히 남아 주인을 기다리고 있는 셈이다.

내일 폐막하는 Pwn2Own 행사에서 과연 파이어폭스와 크롬, 넥서스S와 델 베뉴 프로가 해커에 의해 함락될 지 관심이 쏠린다.

 

 

http://www.bloter.net/archives/53186

이건 2개월전.

 

이 대회에 대한 다른 포스트 링크

 

 

잡스 신이라며 애플의 편리한 UI를 찬양하고 다니긴 하지만 보안 문제가 참 신경쓰이는구나.

2~3년 뒤면 스마트폰 보안 문제가 슬슬 나올듯.

 

크롬 짱.

?

List of Articles
번호 분류 제목 글쓴이 날짜 조회 수
382 과학 힉스 입자 내년 6월까지 찾는다 비지 2011.07.16 877
381 과학 흥미로운 글 - Are you a quack? 외 MoA 2014.04.23 1145
380 IT 휘어지는 AMOLED 디스플레이 Naya 2011.09.02 666
379 사설 회의 많았던 SW 개발 회사의 비극 MoA 2013.12.04 1016
378 과학 회로도 관련 사이트 MoA 2005.12.12 1402
377 IT 홈페이지 방문자 알기? MoA 2007.05.04 1524
376 과학 혈액형 편견과 진실 모아레 2009.09.07 769
375 시사 현직 PD가 말하는 '한예슬과 촬영하기' Naya 2011.08.18 620
374 사설 현자의 코드 (전산철학 관련글) MoA 2014.02.24 718
373 과학 현대대수학(Abstract Algebra) 강의노트 MoA 2007.03.05 1299
372 교양 헬리캠에 대해 비지 2011.07.17 663
371 투자 헝다그룹 파산과 주가 & fomc OBG 2021.09.23 579
370 IT 핸드폰관련 - 에이징이란? 모아레 2009.11.19 1152
369 IT 해킹팀 관련 기사 MoA 2015.09.16 836
368 교양 해외 여행 시 주의해야할 나라별 문화차이 1 너울 2012.12.23 2987
367 과학 해석기하학의 탄생 모아레 2009.04.24 1313
366 투자 합병 비율 OBG 2022.06.08 224
365 IT 함수포인터 MoA 2006.12.11 1746
364 할 피니, 최초의 비트코인 수령자 그리고 마지막 편지 OBG 2024.11.07 149
363 IT 한컴리눅스 2.2 서버구축하기 Apache php Mysql zeroboard 모아레 2009.09.24 1046
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 ... 20 Next
/ 20