- nRootTag는 원격 공격자가 사용자의 블루투스 기기를 애플 에어태그처럼 변환하여 위치를 추적할 수 있도록 하는 새로운 공격 기법
- 루트 권한 없이도 실행 가능하며, 데스크톱, 스마트폰, 스마트워치 등 다양한 기기를 대상으로 할 수 있음
- 전 세계적으로 15억 대 이상의 아이폰이 공격자의 무료 추적 장치 역할을 하게 됨
연구 개요
- 애플의 '나의 찾기' 네트워크는 10억 개 이상의 애플 기기를 활용하는 세계 최대의 기기 추적 네트워크임
- 연구진은 이 네트워크를 악용하여 블루투스 기기를 추적하는 방법을 분석함
- nRootTag는 루트 권한 없이 컴퓨터를 추적 가능한 '에어태그'로 변환하는 공격 기법임
- 공격 성공률이 90% 이상이며, 비용은 몇 달러에 불과함
- 레인보우 테이블을 사용하면 즉각적인 키 검색이 가능해 추적 속도를 높일 수 있음
- 리눅스, 윈도우, 안드로이드 등 다양한 운영 체제에서 작동하며, IoT 기기도 추적 가능함
애플 '나의 찾기(Find My)' 네트워크의 작동 방식
- 에어태그는 소유자의 기기와 공개키/비공개키 정보를 공유함
- 에어태그가 소유자와 분리되면, BLE 광고를 통해 공개키를 방송함
- 근처의 애플 기기들은 이 정보를 수집하여 암호화된 위치 보고서를 생성한 후 애플 클라우드에 전송함
- 올바른 비공개키가 있으면 애플 클라우드에서 위치 데이터를 복호화할 수 있음
- 근처 애플 기기는 송신된 BLE 신호가 애플 기기에서 온 것인지 검증하지 않음
nRootTag의 작동 원리
- 트로이목마 코드가 실행되면 기기의 광고 주소를 수집하고, 서버에서 해당하는 공개키를 가져옴
- 공격 대상 기기는 BLE 광고를 통해 '나의 찾기' 네트워크에 위조된 신호를 전송함
- 서버는 레인보우 테이블을 활용해 키를 검색하고, 애플 클라우드에서 위치 데이터를 복호화함
- 이 과정을 통해 공격자는 사용자의 위치를 추적할 수 있음
GPU 벤치마크
- 연구팀은 RTX 3070, RTX 3080, RTX 4090, A100, H100 등의 GPU를 테스트함
- H100이 가장 빠른 키 생성 속도를 보였지만, 비용이 높아 RTX 3080이 가장 경제적인 옵션으로 평가됨
보안 패치 및 대응
- 연구진은 애플과 협력하여 보안 취약점을 보고함
- 애플은 iOS 18.2, macOS Ventura 13.7.2, Sonoma 14.7.2 등 여러 운영 체제에서 보안 패치를 발표함
- 하지만 패치되지 않은 아이폰이나 애플 워치가 근처에 있는 경우, 공격은 여전히 유효함
연구 지원 및 감사
- 본 연구는 미국 국립과학재단NSF과 Commonwealth Cyber InitiativeCCI의 지원을 받았음
- 애플 보안팀은 취약점 보고에 대해 신속히 대응하였으며, 연구진은 이에 감사를 표함