7월 15, 2024

Wpick

지상에서 한국의 최신 개발 상황을 파악하세요

iMessage는 보안 문제가 아니었고 24시간 이내에 삭제되었습니다 – Ars Technica

iMessage는 보안 문제가 아니었고 24시간 이내에 삭제되었습니다 – Ars Technica

확대 / Phone 2에는 아무것도 켜지지 않았습니다.

론 아마데오

미디어의 보안 질문을 방해하는 회사는 실제로 보안에 그다지 능숙하지 않은 것으로 나타났습니다. 지난 화요일, Android 제조업체인 Nothing과 앱 스타트업 Sunbird의 채팅 앱인 Nothing Chats는 Apple의 iMessage 프로토콜을 해킹하고 Android 사용자에게 파란 거품을 제공할 수 있다고 주장했습니다. 우리는 Sunbird를 약 1년 동안 헛된 약속을 하고 보안에 소홀한 것처럼 보이는 회사로 즉시 표시했습니다. 어쨌든 이 앱은 금요일에 출시되었지만 수많은 보안 문제로 인해 인터넷에 의해 즉시 분리되었습니다. 토요일 아침 Nothing이 Play 스토어에서 앱을 가져오는 데 24시간도 걸리지 않았습니다. Nothing Chat이 단지 재설계된 Sunbird도 ‘일시 중지’되었습니다.

Apple 사용자 이름과 비밀번호를 제공하면 Android의 iMessage에 로그인된다는 이 앱의 초기 판매 홍보 문구는 Sunbird가 재난을 피하기 위해 매우 안전한 인프라가 필요하다는 것을 의미하는 엄청난 보안 위험 신호였습니다. 대신, 앱은 가능한 한 안전하지 않은 것으로 나타났습니다. 여기에 아무것도 없는 진술이 있습니다:

아무것도 없습니다. 채팅이 종료되었습니다.

아무것도 없습니다. 채팅이 종료되었습니다.

보안 문제가 얼마나 심각합니까? 둘 다 나인투파이브구글 그리고 텍스트닷컴 (그가 소유한 것은 자동적 인, WordPress 뒤에 있는 회사)는 매우 열악한 보안 관행을 공개했습니다. Nothing과 Sunbird가 여러 번 주장한 것처럼 앱이 종단 간 암호화되지 않았을 뿐만 아니라 Sunbird는 실제로 메시지를 기록하고 두 버그 보고 프로그램 모두에 일반 텍스트로 저장했습니다. 보초 그리고 Firebase 스토어에서. 인증 토큰은 암호화되지 않은 HTTP를 통해 전송되므로 이 토큰을 가로채서 메시지를 읽는 데 사용할 수 있습니다.

Text.com의 조사 결과 수많은 취약점이 드러났습니다. 블로그에서는 “사용자가 메시지나 첨부 파일을 받으면 클라이언트가 이를 확인하고 데이터베이스에서 삭제하라는 요청을 보낼 때까지 서버 측에서 암호화되지 않습니다. 이는 Firebase Realtime DB에 가입한 공격자가 사용자가 읽기 전이나 읽기 순간에 항상 메시지에 액세스할 수 있습니다.” Text.com은 암호화되지 않은 HTTP를 통해 전송된 인증 코드를 가로채서 데이터베이스에서 발생하는 변경 사항을 구독할 수 있었습니다. 이는 자신뿐만 아니라 다른 사용자의 “수신 및 발신 메시지, 계정 변경 등”에 대한 실시간 업데이트를 의미합니다.

Text.com이 출시한 개념의 증거 Sunbird 서버에서 종단 간 암호화된 메시지를 가져올 수 있는 애플리케이션입니다. 바투한 이쿠즈Text.com의 제품 엔지니어인 는 Sunbird 서버에서 일부 데이터를 삭제하는 도구도 출시했습니다. Içöz는 모든 Sunbird/Nothing Chat 사용자가 지금 Apple ID를 변경하고 Sunbird 세션을 취소한 후 “데이터가 이미 손상되었다고 가정”할 것을 권장합니다.

나인투파이브구글 딜런 러셀 앱을 살펴보니 모든 공개 텍스트 데이터 외에도 “Nothing Chat 및 Sunbird를 통해 전송된 모든 문서(사진, 비디오, 오디오, PDF, vCard…)가 공개됩니다.”라는 사실을 발견했습니다. Russell은 현재 Sunbird에 저장되어 있는 미디어 파일이 630,000개라는 사실을 발견했으며 그 중 일부에 액세스할 수 있는 것으로 보입니다. Sunbird 앱은 사용자에게 연락처 정보가 포함된 가상 명함인 vCard를 전송할 것을 제안했으며 Russell은 2,300명이 넘는 사용자의 개인 정보에 접근할 수 있다고 말했습니다. Russell은 전체 실패를 “아마도 내가 수년 동안 휴대폰 제조업체에서 본 가장 큰 개인 정보 보호 악몽”이라고 부릅니다.

엄청나게 무너지지 않은 보안을 약속하는 것은 없습니다.

엄청나게 무너지지 않은 보안을 약속하는 것은 없습니다.

이 대규모 재난의 원인임에도 불구하고 Sunbird는 이 모든 혼란 속에서도 이상할 정도로 침착했습니다. 앱의 X(이전 Twitter) 페이지에는 여전히 Nothing Chats 또는 Sunbird를 종료하는 것에 대한 내용이 없습니다. 금요일에 제기된 보안 문제에 대한 Sunbird의 초기 대응 중 일부는 유능한 개발자로부터 나온 것이 아닌 것으로 보이기 때문에 이는 아마도 최선일 것입니다. 처음에는 회사에서 그 사용을 옹호하라 Text.com의 Bajaria는 일부 웹 트랜잭션에 대해 암호화되지 않은 HTTP가 있다고 말했습니다.HTTP는 별도의 통신 채널을 통해 이어질 다음 iMessage 연결 빈도를 백엔드에 알리기 위해 앱의 초기 일회성 요청의 일부로만 사용됩니다. Sunbird는 처음부터 보안에 중점을 두었습니다.“Text.com의 조사에 따르면 이는 ‘SSL을 구현하지 않은 로드 밸런싱된 Express 서버이므로 공격자가 쉽게 요청을 가로챌 수 있습니다.'” HTTP를 사용하면 Text.com이 인증 토큰을 가로챌 수 있었습니다.

최신 보안 모범 사례에 따르면 온라인 거래에 암호화되지 않은 HTTP를 사용하는 것은 결코 허용되지 않으며 많은 플랫폼에서는 기본적으로 일반 텍스트 HTTP 전송을 완전히 차단합니다. Chrome은 HTTP 페이지에 액세스하려고 할 때 전체 페이지 경고를 표시하고 사용자에게 경고 메시지를 클릭하라는 메시지를 표시합니다. 기계적 인조 인간 일반 텍스트 비활성화 기본적으로 트래픽이 발생하며 요청이 통과될 수 있도록 개발자가 특수 플래그를 실행해야 합니다. Let’s Encrypt와 같은 프로젝트는 HTTPS 사용을 쉽고 무료로 만들 뿐만 아니라 실제로도 그렇습니다. 더 쉽게 모든 보안 장벽을 처리할 필요가 없기 때문에 모든 것을 암호화합니다. 이는 2023년 인터넷 사용의 기본 사항이며 개발자가 이에 대해 반대하는 것을 보는 것은 충격적입니다. 특히 해당 개발자가 귀하의 Apple 계정을 신뢰하기를 원할 경우 더욱 그렇습니다. 이게 큰 실수라면 얘기가 다르지만 썬버드는 괜찮다고 생각했어요!

실속보다 과장된 안드로이드 제조업체가 항상 존재하는 것은 아니지만 이제 그 목록에 “엉성함”이라는 단어를 추가할 수 있습니다. 회사는 Sunbird와 힘을 합쳐 앱을 재설계하고 포트폴리오를 만들었습니다. 프로모션 웹사이트 그리고 유튜브 영상그리고 그는 언론 성명을 다음과 같이 조정했습니다. 유명 유튜버Sunbird의 앱이나 보안 주장에 대해 약간의 실사도 수행하지 않고 모든 작업을 수행합니다. Nothing Chats를 출시하려면 두 회사 전체에 걸쳐 체계적인 보안 실패가 필요했기 때문에 이 두 회사가 여기까지 도달할 수 있었다는 것은 믿기지 않습니다.

Sunbird가 “몇 가지 버그를 수정”하면 앱이 다시 돌아올 것이라고 주장하는 사람은 없습니다. 보안에 대한 걱정 없이 전체 애플리케이션을 구축했는데, 1~2주 안에 문제를 어떻게 해결할 수 있을지 모르겠습니다. Nothing Chats가 Play 스토어로 돌아오더라도 자격 증명을 입력할 만큼 이를 신뢰하는 사람이 있을까요?