GN⁺: 이집트 상업 감시 업체가 이용한 0-days 취약점

 (blog.google)
1P by neo 2023-09-23 | favorite | 댓글 1개
  • Google의 Threat Analysis Group(TAG)과 The Citizen Lab이 상업 감시 업체인 Intellexa가 개발한 아이폰용 0-day 공격 경로를 발견했습니다.
  • 이 공격 경로는 사용자의 지식 없이 Intellexa의 Predator 스파이웨어를 장치에 설치하는 데 사용됩니다.
  • Apple은 iOS 16.7 및 iOS 17.0.1에서 CVE-2023-41991, CVE-2023-41992, CVE-2023-41993으로 버그를 수정하였으며, 모든 iOS 사용자에게 가능한 한 빨리 이 패치를 설치하도록 권장합니다.
  • 공격 경로는 "중간자 공격"(MITM)을 통해 전달되었으며, 이 공격에서 공격자는 대상의 웹 트래픽을 가로채 다른 웹사이트로 리디렉션합니다.
  • iOS용 공격 경로에는 세 가지 취약점이 포함되어 있습니다: Safari에서의 초기 원격 코드 실행, PAC 우회, XNU 커널에서의 로컬 권한 상승.
  • 공격자는 또한 MITM 주입과 대상에게 직접 보낸 일회용 링크를 통해 이집트의 안드로이드 장치에 Predator를 설치하는 공격 경로를 가지고 있었습니다.
  • Chrome은 MITM 공격에 대비하여 웹 전체에서 HTTPS의 보편적인 채택을 위해 노력하고 있으며, 모든 페이지를 HTTPS로 로드하려는 "HTTPS-First Mode"를 가지고 있습니다.
  • 이 캠페인은 상업 감시 업체에 의한 위험과 온라인 사용자의 안전에 미치는 그들의 영향에 대한 예시입니다.
  • TAG는 상업 스파이웨어 산업에 대한 조치를 계속 취하고, 이에 대한 연구를 발표하며, 이 작업을 추진하기 위해 공공 및 민간 부문과 협력할 계획입니다.
  • The Citizen Lab은 이러한 공격을 포착하고 분석하는 데 있어 협력과 파트너십을 인정받았으며, Apple은 온라인 사용자의 안전을 위해 적시에 패치를 배포한 것에 대해 감사의 말을 전했습니다.
neo 2023-09-23  [-]
Hacker News 의견
  • 이집트의 상업 감시 업체가 0-day 취약점을 악용하는 문제에 대한 기사.
  • 안드로이드에서의 샌드박스 탈출의 성격에 대한 의문을 던지며, 크롬의 패치에 대한 우려가 제기됨.
  • HTTP와 일회용 링크의 가로채기를 포함한 대상 지정 캠페인이 공격 경로였지만, 이것이 광고 캠페인이나 스팸을 통해 봇넷을 구축하거나 사용자 자격 증명을 도용하는 데 널리 사용될 수 있다는 우려가 있음.
  • 공격은 HTTP를 이용해 초기 페이로드를 주입하지만, 국가 후원의 공격자들이 CA 또는 CDN 인프라를 잠재적으로 장악할 수 있다는 제안이 있음.
  • 구글과 애플 같은 기술 거인들이 왜 스파이웨어 회사와 0-day 업체의 직원을 고용하여 이러한 취약점을 찾지 않는지에 대한 의문이 제기됨.
  • 이 취약점이 이집트 당국에 의해 대통령 후보인 아흐메드 엘 탄타위의 휴대폰을 해킹하는 데 사용되었을 것으로 의심됨.
  • 일부 사용자들은 업데이트 설치와 HTTPS-Only 모드 사용 등으로 자신들을 보호하기 위한 조치를 취하고 있음.
  • 구글이 업체가 사용하던 도메인을 공개했을 수도 있으며, 이로 인해 자행법이 초래될 수 있다는 추측이 있음.
  • iOS의 Lockdown 모드가 이 공격 체인을 차단했다는 사실이 언급됨.
  • 자바스크립트가 기본적으로 비활성화되면 이 공격이 여전히 작동할지에 대한 의문이 제기됨.
답변달기