기술 분석 - 일부 베트남 은행 앱에서 개인 iOS API의 부적절한 사용

avatar
Verichains
03-28
이 기사는 기계로 번역되었습니다
원문 표시

소개

어제, 베트남 정보보안 커뮤니티에서 두 개의 인기 있는 은행 앱 – BIDV 스마트뱅킹아그리뱅크 – 가 사용자의 아이폰에 설치된 다른 앱을 탐지하기 위해 숨겨진/비공개 iOS API를 사용하고 있다는 보고가 있었습니다.

이 행위는 처음에 TrollStore의 개발자 @opa334에 의해 이틀 전 infosec.exchange에서 처음 지적되었고, 이후 베트남 J2TEAM 포럼의 페이스북 게시물에서 언급되었습니다. 이 논란은 이러한 행위가 애플의 정책을 위반하고 사용자 개인정보를 침해한다는 점에서 빠르게 주목받았습니다.

[이하 동일한 방식으로 전체 문서를 한국어로 번역]

  • com.opa334.Dopamine.roothide

  • com.roothide.manager

  • com.cokepokes.AppStorePlus

  • xyz.willy.Zebra

  • com.opa334.Dopamine

  • com.kahsooa.piqwkk.dummy

    • 아래 LLDB 스크린샷은 SBSLaunchApplicationWithIdentifierAndURLAndLaunchOptions에서 "com.opa334.Dopamine.roothide"에 대한 확인 지점을 보여줍니다.

    SBSLaunchApplicationWithIdentifierAndURLAndLaunchOptionsSBSLaunchApplicationWithIdentifier에서 호출됩니다.

    개인 API는 반환된 오류 코드를 통해 앱 존재 여부를 확인하는 측면 채널로 사용됩니다:

    • 설치된 경우: Apple 권한 부족으로 인해 보안 정책 오류(오류 번호 9)를 반환합니다.

    • 설치되지 않은 경우: 앱을 찾을 수 없음(오류 번호 7)을 반환합니다.

    이는 VNPShieldBridgingManager 클래스 호출에서 실행되는 앱 설치 여부를 확인하는 측면 채널 악용을 보여줍니다.

    그러나 사용자 장치에 설치된 소프트웨어를 감지하기 위해 이 개인 API를 악용하는 은행 애플리케이션을 실행할 때, 앱의 콘솔 로그에는 권한 없이 애플리케이션을 실행하려는 시도를 나타내는 오류 메시지가 표시됩니다.

    애플 스토어 정책 위반

    애플의 앱스토어 검토 가이드라인(섹션 2.5.1 및 법적 5)에 따르면, 명시적인 사용자 동의 없이 비공개(개인) API 또는 숨겨진 시스템 호출을 사용하는 것은 데이터 투명성, 사용자 제어 및 보안 표준을 위반하여 사용자 신뢰를 훼손합니다.

    특히, 가이드라인 2.5.1은 앱이 "공개 API만 사용할 수 있으며" 이러한 API를 엄격히 의도된 목적으로만 사용해야 한다고 명시하고 있습니다. 내부, 비공개 시스템 프레임워크 또는 기능을 사용하면 앱 거부 또는 제거로 이어집니다. 애플은 앱 안정성을 유지하고 사용자 개인정보를 보호하며 플랫폼 보안을 유지하기 위해 이러한 가이드라인을 시행합니다.

    규정 준수를 넘어, 개인 API 남용은 보안 및 개인정보 보호 문제가 될 수 있습니다. 애플의 규칙은 사용자가 동의하지 않은 데이터나 기능에 앱이 접근하는 것을 방지하기 위해 존재합니다. 예를 들어, 장치 상태를 탐색하기 위해 숨겨진 시스템 호출을 사용하는 것은 사용자 개인정보 보호 및 플랫폼 보안을 위반할 수 있습니다. 사용자 권한 없이 설치된 앱 목록을 스캔하는 것은 명시적으로 금지되어 있으며 사용자 신뢰를 훼손합니다.

    iOS 샌드박스 제한을 우회하거나 승인되지 않은 데이터(예: 설치된 앱 목록)를 수집하려는 시도는 심각한 위반으로, 애플과 보안에 민감한 사용자에게 심각한 경고를 보냅니다. 이러한 관행은 앱 금지 또는 앱스토어 제거 위험이 있으며, 수백만 명의 은행 고객에게 영향을 미칠 수 있습니다.

    결론

    기술 분석 결과, BIDV SmartBanking(v5.2.62, 2025년 3월 14일 업데이트) 및 Agribank Plus(v5.1.8, 2025년 3월 25일 업데이트)는 상업용 모바일 앱 보호 DexProtector 및 Dexguard를 사용하며, "VNPay 런타임 보호"라는 자체 개발 코드와 함께 사용됩니다.

    VNPay 런타임 보호는 사용자 iOS 장치에서 앱 존재를 감지하기 위해 승인되지 않은 iOS 개인 API(SBSLaunchApplicationWithIdentifierAndURLAndLaunchOptions)를 사용하는 메커니즘을 채택하며, 개인 API 문자열을 숨기기 위해 매우 약한 XOR 암호화를 결합합니다.

    이러한 관행은 애플 앱스토어 정책을 위반할 가능성이 높으며, 수백만 은행 고객에게 영향을 미칠 수 있는 앱 제거 위험이 있습니다.

    이 사건은 BShield와 무관합니다. 때때로 우리는 N-day 악용 또는 개인 API를 활용하는 다양한 탐지 방법을 인지하고 있지만, 은행 등급의 모바일 앱 보호 솔루션으로서 BShield는 안정적이고 합법적인 탐지 기술만을 엄격히 사용합니다. 우리는 위험하거나 위험한 방법을 사용하지 않으며, 은행 앱을 표적으로 하는 증가하는 위협 속에서 스토어 정책을 완전히 준수하고 사용자 및 비즈니스 보안을 최우선으로 합니다.

    섹터:
    메타버스
    P2E(Play to Earn)
    바이낸스 런치패드
    출처
    면책조항: 상기 내용은 작자의 개인적인 의견입니다. 따라서 이는 Followin의 입장과 무관하며 Followin과 관련된 어떠한 투자 제안도 구성하지 않습니다.
    라이크
    1
    즐겨찾기에 추가
    코멘트
    관련 콘텐츠