'폐쇄성'에 해당되는 글 1건

  1. 2010.08.06 Jailbreakme.com은 iOS의 사파리 보안의 헛점을 이용한것.


가장 간단하게 탈옥할 수 있는 방법을 제공하는 Jailbreakme.com은 접속 후 화면에 보이는 [Slide to jailbreak]슬라이드를 한번만 밀어주면 사파리 브라우저 상에서 바로 필요한 파일들을 서버에서 내려받아 설치해주는 아주 놀라운 서비스(?)를 제공한다. 단 탈옥하는데 걸리는 시간도 2분이면 완료 된다. 

이를 이용해 애플 스토어에 전시된 아이폰4를 탈옥시켜버린. 재밌는(?) 사건도 있었다.

  이러한 iOS의 기본 사파리 웹브라우져를 통해서 특정한 파일을 내려받아 설치한다는것은 그 어디서도 볼 수 없었던 놀라운 기능이었는데 (심지어 애플조차도 이를 이용하지 못했던 기능이니까)

이러한 것이 가능 하다는게 참으로 놀랍고도 궁금했다.




 
그런데 알고 보니 해답은 바로 사파리 브라우저의 보안에 구멍이 있었다는 것이었다.

노턴 안티바이러스로 유명한 시만텍은 8월 4일 아이폰,아이팟터치,아이패드의 공통 웹 브라우저인사파리에서 PDF를 열려고 할때  기기의 제어를 통째로 넘겨줄 수 도 있는 심각한 보안 위험이 있다고 경고했다.

하지만 이는 한발 늦은 경고로  Jailbreakme.com 이미 이러한 헛점을 이용하고 있었다.

관련해서 애플측에서도 이러한 사실을 알고 있어서 현재 iOS4.1에서는 패치되어 있지만 현재 해당 버전은 베타버전 상태여서, 현재로서 최선은 "사파리브라우저의 사용을 자제하고 오페라 브라우저를 사용하라" 정도 밖에는 방법이 없다.

그런데 재밌게도 그동안 보안의 헛점이라는 탈옥을 한 아이폰에서는 시디아(Cydia)를 통해 "PDF Loading Warner" 를 설치하면 PDF 로딩 시점에 미리 경로를 주어 사전에 감지 할 수 있도록 하는 도움을 주고 있다. 그러나 순정상태의  아이폰에서는 아무런 대책이 없다.

 
 이로인해 그동안 아이폰이 가장 폐쇄적이기는 하나 대신 가장 안전하다는 주장을 하던 측에서는 적잖이 당황스러울 수 밖에 없는 상황이라고 보여진다.

Posted by 퍼니로거 즐건록