일부 조건 맞아떨이지면 애플의 이메일, 복호화 된 채로 저장돼
애플에 7월에 알렸으나 아직까지도 해결 기미 보이지 않아
[보안뉴스 문가용 기자] 애플이 맥OS 컴퓨터들에 설치된 데이터베이스의 보안 취약점을 수개월 째 방치하고 있다는 사실이 보안 전문가 밥 젠들러(Bob Genler)라는 인물에 의해 공개됐다. 문제의 핵심은 암호화 되어야 할 이메일이 암호화 과정 없이 보관되고 있다는 것이라고 한다.
[이미지 = iclickart]
젠들러는 맥OS와 시리가 사용자들에게 연락처 정보를 추천하는 원리를 조사하다가 문제를 발견했다고 한다. 현재 자신이 알게 된 내용을 블로그(https://medium.com/@boberito/apple-mail-stores-encrypted-emails-in-plain-text-database-fix-included-3c2369ce26d4)에 공개한 상태다.
젠들러가 집중적으로 조사했던 건 서제스티드(suggestd)라는 이름을 가진 프로세스였다. 서제스티드는 com.applesuggestd라는 시스템 런처로 실행된다. 또한 사용자 층위의 라이브러리(Library) 폴더 내에 있는 서제스천(Suggestions) 폴더도 분석 대상이었다.
연구를 통해 젠들러는 서제스천 폴더에 다량의 파일이 저장되어 있다는 걸 알게 되었다. 이 중에는 굉장히 중요한 .db(데이터베이스) 파일들도 포함되어 있었다. 분석해보니 애플 메일(Apple Mail) 등 여러 애플 애플리케이션들이 출처인 정보가 저장되어 있었고, 맥OS와 시리는 이 정보를 바탕으로 특정 기능(친구 추천 등)을 발휘하고 있었다.
그런데 뭔가가 이상했다. “snippets.db라는 데이터베이스 파일에 제 이메일들이 저장되어 있더군요. 심지어 S/MIME으로 암호화 된 이메일이 전혀 암호화되지 않은 상태였어요. 원래는 암호화 되어 있었어야 할 것들까지 복호화 해서 저장한 겁니다.” 시리 기능을 향상시키기 위한 노력인 걸까? 젠들러는 시리를 비활성화시켜봤다. “그런데도 OS가 시리를 위한 데이터를 축적시키고 있더군요. 애플은 이메일 암호화의 이유를 자기 마음대로 해석하고 없애버린 겁니다.”
S/MIME은 이메일을 암호화 할 때 메일을 받는 사람의 공공 키와 그 공공 키에 해당하는 비밀 키를 함께 활용한다. 비밀 키 역시 받는 사람이 보유하고 있다. 복호화 때에도 물론 이 두 가지 키들이 필요하다. “비밀 키가 삭제되었거나 사용할 수 없는 상황이라면, 암호화 된 메일을 읽을 수 없어야 합니다. 그래야 메일을 보낸 사람이 의도한 사람에게만 메시지가 노출되지 않겠습니까?”
젠들러는 이러한 사실을 애플 측에 지난 7월 29일에 전달했다. 당시 젠들러가 분석했던 환경은 맥OS 모하비 10.14 버전, 맥OS 카탈리나 10.15 베타 버전에서였다. 그 후 3개월이 지났지만 애플은 “보고를 받았다”는 답만 보내왔을 뿐 아무런 조치를 취하지 않았다. 3개월 동안 문제 조사 중에 머물러 있다는 것이다.
그러는 중에 애플이 맥OS에 대한 패치를 진행하지 않았냐 하면 그렇지도 않다. 그 3개월 동안 여러 번의 보안 업데이트를 배포했었다. 그 중에 이 문제에 대한 해결책은 하나도 없었다는 게 젠들러의 설명이다. 그래서 젠들러는 애플의 이 같은 행위를 고발함과 동시에 문제를 해결할 수 있는 방법도 함께 게시했다.
1) System Preferences -> Siri -> Siri Suggestions & Privacy -> Apple Mail 박스 체크 해제
2) Terminal을 켜고 : default write com.apple.suggestions SiriCanLearnFromAppBlacklist -array com.apple.mail
3) https://github.com/boberito/ConfigurationProfiles/blob/master/suggestd.mobileconfig
젠들러는 해결책을 밝히면서 이 문제에 노출된 사람이 맥OS 사용자 대다수는 결코 아니라고 강조했다. “맥OS와 애플 메일(Apple Mail) 서비스를 모두 사용하는 사람들 중, 애플 메일로 암호화 된 이메일까지 전송하는 사람들만이 위험에 노출되어 있습니다. 그 사람들 중 파일볼트(FileVault)로 시스템 전체를 암호화하지 않는 사람들이 특히 위험합니다.”
그렇지만 암호화시킨 메일을 애플이 임의로 복호화 해서 저장해두고 있다는 것 자체는 중요한 문제일 수 있다. “특히 애플처럼 보안과 프라이버시 보호가 1순위의 가치인 것처럼 스스로를 포장하고 있는 회사가 할 짓은 전혀 아니죠. 게다가 3개월 동안 아무런 조치를 취하고 있지 않다는 것도 문제입니다. 전 애플이 이렇게까지 말과 행동이 다른 것에 놀랐습니다.”
젠들러는 “결국 자기가 사용하는 시스템에 대해서는 스스로가 최대한 알기 위해 노력해야 한다”고 강조했다. “우리도 모르는 곳에서 어떤 정보가 어떻게 저장되고 또 어디로 전송되는지, 회사들이 말하는 그대로를 믿을 수는 없거든요.”
3줄 요약
1. 애플의 맥OS 일부에서 사용자 이메일 임의로 저장하는 문제 발견됨.
2. 심지어 사용자가 암호화 한 메일을 복호화해서 저장하고 있었음.
3. 애플에 이를 알렸으나 3개월이 넘은 시점에서 해결하지 않고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
애플에 7월에 알렸으나 아직까지도 해결 기미 보이지 않아
[보안뉴스 문가용 기자] 애플이 맥OS 컴퓨터들에 설치된 데이터베이스의 보안 취약점을 수개월 째 방치하고 있다는 사실이 보안 전문가 밥 젠들러(Bob Genler)라는 인물에 의해 공개됐다. 문제의 핵심은 암호화 되어야 할 이메일이 암호화 과정 없이 보관되고 있다는 것이라고 한다.
[이미지 = iclickart]
젠들러는 맥OS와 시리가 사용자들에게 연락처 정보를 추천하는 원리를 조사하다가 문제를 발견했다고 한다. 현재 자신이 알게 된 내용을 블로그(https://medium.com/@boberito/apple-mail-stores-encrypted-emails-in-plain-text-database-fix-included-3c2369ce26d4)에 공개한 상태다.
젠들러가 집중적으로 조사했던 건 서제스티드(suggestd)라는 이름을 가진 프로세스였다. 서제스티드는 com.applesuggestd라는 시스템 런처로 실행된다. 또한 사용자 층위의 라이브러리(Library) 폴더 내에 있는 서제스천(Suggestions) 폴더도 분석 대상이었다.
연구를 통해 젠들러는 서제스천 폴더에 다량의 파일이 저장되어 있다는 걸 알게 되었다. 이 중에는 굉장히 중요한 .db(데이터베이스) 파일들도 포함되어 있었다. 분석해보니 애플 메일(Apple Mail) 등 여러 애플 애플리케이션들이 출처인 정보가 저장되어 있었고, 맥OS와 시리는 이 정보를 바탕으로 특정 기능(친구 추천 등)을 발휘하고 있었다.
그런데 뭔가가 이상했다. “snippets.db라는 데이터베이스 파일에 제 이메일들이 저장되어 있더군요. 심지어 S/MIME으로 암호화 된 이메일이 전혀 암호화되지 않은 상태였어요. 원래는 암호화 되어 있었어야 할 것들까지 복호화 해서 저장한 겁니다.” 시리 기능을 향상시키기 위한 노력인 걸까? 젠들러는 시리를 비활성화시켜봤다. “그런데도 OS가 시리를 위한 데이터를 축적시키고 있더군요. 애플은 이메일 암호화의 이유를 자기 마음대로 해석하고 없애버린 겁니다.”
S/MIME은 이메일을 암호화 할 때 메일을 받는 사람의 공공 키와 그 공공 키에 해당하는 비밀 키를 함께 활용한다. 비밀 키 역시 받는 사람이 보유하고 있다. 복호화 때에도 물론 이 두 가지 키들이 필요하다. “비밀 키가 삭제되었거나 사용할 수 없는 상황이라면, 암호화 된 메일을 읽을 수 없어야 합니다. 그래야 메일을 보낸 사람이 의도한 사람에게만 메시지가 노출되지 않겠습니까?”
젠들러는 이러한 사실을 애플 측에 지난 7월 29일에 전달했다. 당시 젠들러가 분석했던 환경은 맥OS 모하비 10.14 버전, 맥OS 카탈리나 10.15 베타 버전에서였다. 그 후 3개월이 지났지만 애플은 “보고를 받았다”는 답만 보내왔을 뿐 아무런 조치를 취하지 않았다. 3개월 동안 문제 조사 중에 머물러 있다는 것이다.
그러는 중에 애플이 맥OS에 대한 패치를 진행하지 않았냐 하면 그렇지도 않다. 그 3개월 동안 여러 번의 보안 업데이트를 배포했었다. 그 중에 이 문제에 대한 해결책은 하나도 없었다는 게 젠들러의 설명이다. 그래서 젠들러는 애플의 이 같은 행위를 고발함과 동시에 문제를 해결할 수 있는 방법도 함께 게시했다.
1) System Preferences -> Siri -> Siri Suggestions & Privacy -> Apple Mail 박스 체크 해제
2) Terminal을 켜고 : default write com.apple.suggestions SiriCanLearnFromAppBlacklist -array com.apple.mail
3) https://github.com/boberito/ConfigurationProfiles/blob/master/suggestd.mobileconfig
젠들러는 해결책을 밝히면서 이 문제에 노출된 사람이 맥OS 사용자 대다수는 결코 아니라고 강조했다. “맥OS와 애플 메일(Apple Mail) 서비스를 모두 사용하는 사람들 중, 애플 메일로 암호화 된 이메일까지 전송하는 사람들만이 위험에 노출되어 있습니다. 그 사람들 중 파일볼트(FileVault)로 시스템 전체를 암호화하지 않는 사람들이 특히 위험합니다.”
그렇지만 암호화시킨 메일을 애플이 임의로 복호화 해서 저장해두고 있다는 것 자체는 중요한 문제일 수 있다. “특히 애플처럼 보안과 프라이버시 보호가 1순위의 가치인 것처럼 스스로를 포장하고 있는 회사가 할 짓은 전혀 아니죠. 게다가 3개월 동안 아무런 조치를 취하고 있지 않다는 것도 문제입니다. 전 애플이 이렇게까지 말과 행동이 다른 것에 놀랐습니다.”
젠들러는 “결국 자기가 사용하는 시스템에 대해서는 스스로가 최대한 알기 위해 노력해야 한다”고 강조했다. “우리도 모르는 곳에서 어떤 정보가 어떻게 저장되고 또 어디로 전송되는지, 회사들이 말하는 그대로를 믿을 수는 없거든요.”
3줄 요약
1. 애플의 맥OS 일부에서 사용자 이메일 임의로 저장하는 문제 발견됨.
2. 심지어 사용자가 암호화 한 메일을 복호화해서 저장하고 있었음.
3. 애플에 이를 알렸으나 3개월이 넘은 시점에서 해결하지 않고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
