어제 iOS 14.4 및 기타 모든 운영 체제 릴리스와 함께 Apple은 일반적인 버그 수정을 포함했습니다. 그러나 Apple은 iOS 14.4가 회사에서 “적극적으로 악용되었을 수 있는” 세 가지 보안 버그를 수정한다는 점을 인정합니다. Apple이 악의적인 공격에 악용될 수 있는 보안 결함을 닫는 것을 명시적으로 인정한 것은 이번이 처음입니다.
iOS 14.4에서 Safari 및 커널 버그가 수정되었습니다.
여기 iOS 14.4 보안 문서에서 업데이트로 수정된 세 가지 버그에 대한 설명을 볼 수 있습니다. 그것들은 다음과 같습니다:
CVE-2021-1782: 악성 애플리케이션이 커널에서 상승된 권한에 액세스할 수 있습니다.
CVE-2021-1870 및 CVE-2021-1871: 원격 공격자는 Webkit에서 임의의 실행 코드를 실행할 수 있습니다.
커널은 나머지 소프트웨어가 하드웨어에 액세스할 수 있도록 하는 운영 체제의 기본 부분입니다. Webkit은 macOS와 iOS 모두에서 사용되는 Safari용으로 Apple에서 개발한 브라우저 엔진입니다. 종종 해커는 체인의 여러 버그를 사용하여 장치에 대한 액세스 권한을 얻습니다. 이 경우에 들어갈 수 있는 두 개의 “열쇠”와 액세스할 수 있는 “문”이 있습니다.
한 명 이상의 사용자를 대상으로 사용되었는지 또는 대규모로 악용되었는지는 알 수 없습니다. 그러나 보안 노트 자체에는 “추가 세부 정보가 곧 제공될 것”이라고 명시되어 있습니다.
익명의 연구원이 보상을 받을 수 있습니다.
새 소프트웨어 릴리스에 대한 보안 정보에서 Apple은 일반적으로 이를 발견한 사람이나 팀을 나타냅니다. 직접 귀속이 표시되지 않으면 자체 팀에서 수정한 것으로 가정합니다. 그러나 이 경우 3개의 버그는 “익명의 연구원”에 기인합니다.
하드웨어 및 소프트웨어 보안의 세계에서는 회사에 연락하고 버그를 수정한 후 이러한 버그를 공개적으로 알리는 것이 일반적입니다. 이런 식으로 새로운 이력서 라인인 것처럼 동료들 사이에서 관련성과 명성을 얻게 됩니다. 그렇기 때문에 세 가지 오류를 알려준 인물이나 단체의 익명이 더욱 충격적이다.
각 업데이트는 장치의 보안을 보호하는 데 도움이 되는 버그(경우에 따라 주요 버그)를 수정한다는 점을 기억할 가치가 있습니다.
악의적으로 악용된 보안 버그가 발견된 것은 이번이 처음이 아닙니다. 가장 악명 높은 사례 중 하나는 커널에 대한 액세스를 허용하는 세 가지 버그 집합인 Pegasus였습니다. 아랍 에미레이트 항공이 이 국가의 반체제 인사를 감시하는 데 사용했으며 2016년 여름 Apple에 의해 수정되었습니다.
Apple은 얼마 전 보상 프로그램을 시작하여 기기의 보안을 깨는 데 성공한 사람들에게 금전적인 상을 수여했습니다. 상금은 잠금 화면을 우회하여 100,000달러에서 클릭 없이 커널에서 코드를 실행하는 데 100만 달러까지 다양합니다.
물론 익명의 정보 제공자는 이 세 가지 버그에 대해 수십만 달러를 챙길 수 있습니다. 앞으로 몇 주 안에 이에 대해 더 자세히 알아보겠습니다.