애플은 월요일 자사 기기가 웹 기반 JavaScript를 통한 원격 악성 코드 실행을 허용하는 취약점에 노출되었다고 확인했으며, 이는 사용자의 암호화폐를 위협할 수 있는 공격 벡터를 열어줄 수 있습니다.
최근 애플 보안 공개에 따르면, 사용자는 이 취약점을 해결하기 위해 자사의 JavaScriptCore와 WebKit 소프트웨어의 최신 버전을 사용해야 합니다.
구글의 위협 분석 그룹이 발견한 이 버그는 "악의적으로 작성된 웹 콘텐츠 처리"를 허용하여 "크로스 사이트 스크립팅 공격"으로 이어질 수 있습니다.
더욱 우려스러운 것은 애플이 "이 문제가 Intel 기반 Mac 시스템에서 적극적으로 악용되었을 수 있다는 보고를 인지하고 있다"고 인정했다는 점입니다.
애플은 또한 iPhone과 iPad 사용자를 위한 유사한 보안 공개를 발표했습니다. 여기에서 애플은 JavaScriptCore 취약점이 "악의적으로 작성된 웹 콘텐츠 처리로 인해 임의 코드 실행이 발생할 수 있다"고 밝혔습니다.
다시 말해, 애플은 사용자가 악성 웹사이트를 방문하면 해커가 iPhone이나 iPad를 장악할 수 있는 보안 결함을 인지했다는 것입니다. 애플은 이 문제를 해결하기 위한 업데이트를 제공할 것이라고 말했습니다.
암호화폐 사이버 보안 기업 Trugard의 CTO이자 공동 창립자인 Jeremiah O'Connor는 디크립트(Decrypt)에 "공격자가 브라우저에 저장된 개인 키나 비밀번호와 같은 민감한 데이터에 접근할 수 있어, 사용자의 기기가 패치되지 않은 경우 암호화폐 도난이 발생할 수 있다"고 말했습니다.
이 취약점에 대한 정보가 암호화폐 커뮤니티에 수요일에 퍼지기 시작했으며, 전 바이낸스 CEO인 창펑자오(CZ)가 트윗에서 Intel CPU가 탑재된 맥북 사용자들에게 신속한 업데이트를 권고했습니다.
이번 사건은 3월 보고서에서 보안 연구원들이 애플의 이전 세대 칩인 M1, M2, M3 시리즈에서 암호화폐 키를 훼손할 수 있는 취약점을 발견했다는 내용에 이어 나온 것입니다.
이 취약점은 새로운 것이 아니며, 애플 자체 M 시리즈 칩의 "프리페칭" 프로세스를 악용하여 프로세서 캐시에 중요 데이터를 저장하고 이를 액세스하여 암호화 키를 복원할 수 있습니다.
불행히도 ArsTechnica에 따르면, 이는 애플 사용자에게 중대한 문제이며 칩 수준의 취약점은 소프트웨어 업데이트로 해결할 수 없습니다.
이 문제를 완화할 수 있는 대안이 있지만, 이는 성능을 희생하고 보안을 강화하는 것입니다.
