Apple iPhone, iPad iOS 9 보안 결함으로 악성 앱이 엔터프라이즈 기기에 몰래 빠져 나올 수 있습니다.

iOS 9 이후, 애플은 엔터프라이즈 애플 리케이션을 신뢰하는 기준을 높였다.

보안 회사 인 체크 포인트 (CheckPoint) 연구원은 악성 앱을 설치하기 위해 위조 된 엔터프라이즈 개발자 인증서에 의존하는 이전 방법을 비꼬는 방식으로 iPhone 및 iPad를 공격 할 수있는 새로운 방법을 발견했습니다.

Apple은 기업이 앱 스토어 외부에서 앱을 배포하고 Apple의 앱 검토 프로세스를 거치지 않고도 엔터프라이즈 앱 인증서를 제공 할 수 있도록합니다.

아이폰 6은 성능, 카메라 품질 및 새로운 3D 터치 기술 측면에서 아이폰 6보다 큰 개선점을 제공한다.

그러나 이러한 인증서는 과거 악성 앱에 대한 서명으로 도용되었습니다. iOS 9 이전에 엔터프라이즈 앱을 설치하려는 사용자는 앱 스토어에서 신뢰하지 않는 개발자로부터 앱을 설치하려면 ‘신뢰’를 한 번 눌러야합니다.

공격에 대한 변형으로 범인은 보안 경고를 무시하는 경향을 이용하여 탈옥되지 않은 iOS 기기에 악성 코드를 설치할 수있었습니다.

최근 사례로는 YiSpecter, WireLurker, XCodeGhost 및 이탈리아 스파이웨어 공급 업체 인 Hacking Team의 멀웨어가 있습니다. 또한 앱 스토어 외부에서 앱을 구입하는 것이 더 일반적 인 중국 사용자에게 더 큰 위협이되었습니다.

iOS 9 이후, 애플은 앱을 실행하기 전에 신뢰할 수없는 개발자를 확인하기 위해 사용자가 설정에서 여러 단계를 거치도록 요구함으로써 엔터프라이즈 애플 리케이션을 신뢰하는 기준을 높였다.

Apple은 iOS 9.3을 출시하여 주요 iMessage 보안 결함을 수정했습니다. 아니요. Siri를 사용하여 iPhone의 암호를 무시할 수는 없으며 iPhone이 AceDeceiver 멀웨어에 거의 감염되지 않았습니다.

그러나 CheckPoint는 기업용 애플리케이션을 설치할 때 iOS 9의 복잡성을 막기 위해 Apple은 모바일 장치 관리 (MDM) 시스템에 설치된 모든 앱을 신뢰하도록 설계했습니다.

BYOD 및 회사 장치는 회사 제어 MDM 플랫폼에 등록한 후 중앙에서 관리 할 수 ​​있습니다.

이 시나리오의 잠재적 인 약점은 – 그리고 Apple의 통제 범위를 벗어나는 것 – MDM 플랫폼이 중간자 공격에 취약 할 수 있다는 것입니다.

이 약점을 악용하려면 대상을 속여 악성 구성 프로필을 설치해야합니다.

보안, 백악관, 첫 연방 정보 보안 책임자, 보안, 국방부의 사이버 비상 대응 비난, 보안, HTTP 연결을 안전하지 않은 것으로 표시하는 Chrome, 보안, Hyperledger 프로젝트가 갱스 터처럼 성장하고있다.

구성 프로파일은 Apple Configurator로 생성되며 웹 페이지, 전자 메일 및 기타 방법을 통해 배포되어 VPN, Wi-Fi 및 자격 증명과 같은 기능을 제어 할 수 있습니다.

예를 들어 Apple은 구성 프로파일을 베타 테스터에게 배포하지만 Checkpoint는 공격자가 MDM에서 메시지를 전환하는 데 사용할 수 있음을 강조합니다.

“일단이 악의적 인 프로필을 설치하면 침입자는 장치와 MDM 솔루션 간의 통신에 MITM (man-in-the-middle) 공격을 수행 할 수 있으며, 침입자는 iOS가 신뢰하는 MDM 명령을 도용하고 모방 할 수 있습니다. 무선으로 엔터프라이즈 애플리케이션을 설치할 수있는 능력 “이라고 덧붙입니다.

“iOS가 이러한 응용 프로그램을 신뢰하고 설치 프로세스가 사용자에게 친숙하기 때문에 감염은 자연스럽고 즉각적입니다.”

CheckPoint는 취약점 SideStepper를 호출하여 2015 년 10 월에 Apple에 문제를보고했습니다. 그러나 Apple은 그 동작이 “예상”이라고 다시보고했습니다.

백악관, 연방 정보 보안 책임자 (Federal Chief Information Security Officer) 선임

미 국방부, 정부의 감시로 사이버 비상 대응 비판

Chrome이 HTTP 연결을 비보안으로 표시하기 시작했습니다.

Hyperledger 프로젝트가 갱스 터처럼 성장하고 있습니다.

리뷰

iPhone 보안