2024-03-29 08:55 (금)
해커들, 최신버전 아이폰X, 삼성 갤럭시 S9, 샤오미 Mi6 등 해킹에 성공
상태바
해커들, 최신버전 아이폰X, 삼성 갤럭시 S9, 샤오미 Mi6 등 해킹에 성공
  • 길민권 기자
  • 승인 2018.11.21 09:32
이 기사를 공유합니다

city-1284260_640.jpg
최근 일본에서 개최된 모바일 해킹대회에서 아이폰(iPhone)X, 삼성 갤럭시 S9, 샤오미 Mi6 등에서 제로데이 취약점이 발견됐다.

지난 11월 13일~14일 도쿄에서 개최 된 폰투오운(Pwn2Own) 2018 모바일 해킹 대회에서, 화이트 해커들이 최신 버전 소프트웨어를 사용하는 인기있는 스마트폰들도 해킹 될 수 있다는 것을 보여주었다.

이번에 해킹 된 기기에는 아이폰X, 삼성 갤럭시 S9, 샤오미 Mi6도 포함 되어 있었다. 화이트 해커들은 총 32만5천달러를 상금으로 수령했다.

서로 다른 국가, 서로 다른 사이버 보안 회사에서 참여한 해커 팀들이 애플, 삼성, 샤오미가 제조한 모바일 기기에서 제로데이 취약점 총 18개, 타깃 기기를 완전히 제어할 수 있는 익스플로잇을 공개했다.

Fluoroacetate 팀의 두 연구원인 Richard Zhu, Amat Cama는 모든 패치가 적용 된 애플의 아이폰X를 와이파이를 통해 해킹할 수 있는 취약점을 발견했다.

이 연구원들은 iOS 12.1을 실행하는 아이폰에서 데이터를 추출하기 위해 iOS 웹브라우저(사파리)의 just-in-time(JIT) 취약점과 샌드박스 탈출 및 권한 상승을 위한 out-of-bounds 쓰기 버그를 결합했다.

이들은 시연을 위해 타깃 아이폰에서 최근 삭제 된 사진을 복구해보이기로 결정했다. 이를 통해 연구원들은 상금으로 5만달러를 받았다.

Fluoroacetate팀은 아이폰X의 베이스밴드를 악용하려 시도했지만, 할당 된 시간 안에 익스플로잇을 성공시키지는 못했다.

삼성 갤럭시 S9 도 해킹 돼

Fluoroacetate 팀은 아이폰X 이외에도 삼성 갤럭시 S9도 해킹에 성공했다. 이들은 기기의 베이스밴드 컴포넌트의 메모리 힙 오버플로우 취약점을 악용하고 코드 실행 권한을 얻었다. 상금으로 5만달러를 받았다.

또한 MWR 팀이 또 다른 취약점 3개를 발견했다. 이들은 와이파이를 통해 삼성 갤럭시 S9 기기를 사용자와의 어떠한 상호작용 없이도 강제로 종속 포털에 접근하도록 했다.

이후 커스텀 어플리케이션을 타겟 삼성 갤럭시 S9 기기에 설치하기 위해 안전하지 않은 리디렉트 및 어플리케이션 로드를 사용했다. MWR Labs는 상금으로 3만달러를 받았다.

한편 Fluoroacetate 팀은 가장 높은 총점인 45점 및 총 상금 21만5천달러를 획득해 올해의 ‘Pwn 마스터’ 타이틀을 획득했다. 이들은 iPhone X, 갤럭시 S9, 샤오미 Mi6에 실행한 6번의 데모 중 5건을 성공시켰다. (정보. 이스트시큐리티)

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★