애플의 분실 장비 추적 장치에서 스토어드 XSS 취약점 발견돼

요약 : 애플의 장비 추적 장치인 에어태그(AirTag)에서 제로데이 취약점이 발견됐다. 일종의 ‘스토어드 XSS’ 취약점인데, 아직 패치가 되지 않았다. 이 취약점은 ‘분실 모드(Lost Mode)’에서 발동되는데, 성공적으로 익스플로잇 할 경우 공격자는 멀웨어 심기, 크리덴셜 탈취, 토큰 탈취 등을 할 수 있게 된다고 한다.


배경 : 스토어드 XSS 취약점은 ‘지속적 XSS’ 취약점이라고 불리며, 취약한 웹 애플리케이션에 악성 스크립트를 직접 주입함으로써 익스플로잇 할 수 있다. 공격자가 악성 웹 페이지를 개설하고, 피해자를 이리로 유도하는 방식으로 익스플로잇 되는 것이 보통이다.

말말말 : “에어태그는 비교적 새로 나온 상품입니다. 대부분의 사용자들은 정상적으로 작동하는 경우와 비정상적으로 작동하는 경우를 잘 구분하지 못할 겁니다. 그렇기 때문에 공격이 더 치명적으로 통할 수 있습니다.” -바비 로치(Bobby Rauch)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>