애플, 긴급 iOS 및 iPadOS 업데이트로 보이스오버 비밀번호 및 오디오 취약점 수정

애플이 다양한 아이폰과 아이패드에서 발생할 수 있는 심각한 보안 취약점을 해결하기 위해 긴급 iOS 18.0.1 및 iPadOS 18.0.1 업데이트를 발표했다. 사용자 데이터 노출 위험을 줄이기 위해 사용자는 신속히 업데이트를 설치할 것을 권장받고 있다.

첫 번째 취약점은 CVE-2024-44204로 추적된 것으로, 새로운 비밀번호 앱에서 발생한 논리적 결함으로 인해 애플의 시각 장애인을 위한 접근성 기능인 보이스오버(VoiceOver)에서 사용자의 저장된 비밀번호가 소리로 출력될 수 있었다. 이 문제는 보안 연구원 비스트릿 다하(Bistrit Daha)가 발견해 보고한 것으로 알려졌다. 애플은 이번 문제를 해결하고 다하에게 공로를 인정했다.

이 취약점은 다음과 같은 기기들에 영향을 미쳤다:

아이폰 XS 및 이후 모델

아이패드 프로 13인치

아이패드 프로 12.9인치(3세대 이후)

아이패드 프로 11인치(1세대 이후)

아이패드 에어(3세대 이후)

아이패드(7세대 이후)

아이패드 미니(5세대 이후)

애플은 비밀번호 앱에서의 검증 절차를 개선해, 보이스오버에서 더 이상 비밀번호를 의도치 않게 소리로 출력하지 않도록 문제를 해결했다. 이번 수정은 사용자 프라이버시를 보호하고 잠재적 악용 가능성을 차단하기 위한 업데이트의 일환으로 포함되었다.

두 번째 취약점은 CVE-2024-44207로, 올해 초 출시된 아이폰 16 모델에만 국한된 문제다. 이 결함은 마이크 표시기가 켜지기 전에 몇 초간의 오디오를 캡처할 수 있는 취약점을 내포하고 있어, 비인가 도청의 위험성을 초래할 수 있었다. 이 취약점은 미디어 세션(Media Session) 구성 요소에서 발생한 것으로, 기기의 오디오 입력 및 출력을 관리하는 역할을 한다.

애플에 따르면, 메시지(Messages) 앱을 통해 전송된 음성 메시지가 마이크 표시기(작은 주황색 점)가 활성화되기 전 몇 초간 오디오를 캡처할 수 있는 상황이 발생할 수 있었다고 한다. 이 문제는 사용자 프라이버시를 위협할 수 있어, 애플은 즉시 수정 작업에 착수했다.

애플은 연구원 마이클 지메네즈(Michael Jimenez)와 익명의 기여자가 이 문제를 보고했으며, 이를 통해 시스템 점검 절차를 개선하여 오디오가 너무 일찍 캡처되지 않도록 했다.

사용자들은 iOS 18.0.1 및 iPadOS 18.0.1 최신 업데이트를 설치하여 기기를 보호하고 개인 데이터를 안전하게 유지하는 것이 중요하다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★