애플 사파리에 구글 계정 정보를 누출할 수 있는 보안 버그가 있다는 사실이 알려졌습니다.
이 보안 버그는 FingerprintJS에 의해 알려졌으며 애플의 사피라 15 버전에 해당 된다고 합니다.
사파리의 보안 버그 내용
웹브라우저들은 유저가 로그인한 정보를 저정하기 위해 IndexedDB 라는 것을 활용한다고 합니다.
이 InedexedDB 활용을 위한 Indexed API도 제공을 하며 Indexed API를 개발자들이 쉽게 활용할 수 있게 되어 있다고 합니다.
애플의 사파리에서는 이 부분에서 유출이 되어 유저의 구글 계정 정보를 스크립트를 통해서 빼내갈 수 있다고 하네요.
또한 이 버그는 사파리의 시크릿 모드에서도 발생한다고 합니다.
쉽게 이야기하면 사파리의 이런 보안 취약점을 노린 사람이 홈페이지에 관련 악성 코드를 심어 놓으면 그 컴퓨터나 모바일 기기의 정보를 빼내갈 수 있다라는 점입니다.
이번 사파리의 보안 버그에 의아한 점은
보통 이렇게 보안 버그를 발견하게 되면 바로 업체에 알려줍니다.
그리고 업체는 이 버그를 해결하는 패치를 제작하게 되며 제작을 완료한 이후에 배포를 합니다.
이렇게 배포가 되면 이런 버그가 있었다고 공개를 하게 됩니다.
즉 발견된 버그를 악용하는 사례를 막기 위함입니다
그런데 이번 경우에는 아직 관련 보안패치가 배포되지 않았는데 보안 버그가 공개가 된 듯합니다.
FingerprintJS에서 사파리의 버그를 발견하고 애플에 11월 28일에 알려주었다고 합니다.
그런데 애플은 이에 대한 패치를 배포하지 않았다고 하며, 이 보안 버그가 공개된 이후에 애플이 관련 작업에 들어갔다고 합니다.
만약 이게 사실이라면 애플의 이런 모습은 상당한 실망감을 주기에 충분하다고 보여집니다.
이 버그는 아이폰, 아이패드를 비롯한 모든 사파리 15 버전에 해당됩니다.
알려진 이 버그는 모든 사파리 브라우저 버전 15에 해당이 됩니다.
사파리 버전이 15이기에 iOS 15가 설치된 기기와 MacOS 몬터레이 12가 설치된 맥에 해당됩니다.
특히 iOS의 경우 사파리를 비롯해 설치된 모든 브라우저앱이 애플의 Webkit을 사용하기에 모든 브라우저앱도 똑같은 버그가 발생할 수 있습니다.
단 iOS 15로 업그레이드 하지 않고 iOS 14에 머물러 있다면 이 버그는 해당하지 않습니다.
관련 버그 패치는?
애플이 관련 작업에 착수했다고 하니 곧 관련 버그 패치가 배포될 것입니다.
이게 iOS 15.3이 될 것인지, iOS 15.2.2가 될 것인지는 모르겠습니다만 iOS 15가 설치된 아이폰과 아이패드 유저들은 업데이트가 배포되면 빠른 설치를 해야 할 것입니다.
MacOS 몬터레이 관련 패치도 함께 배포될 것이니 바로 업데이트 설치하시기를 추천합니다.