Trend Micro, Masque Attack을 통해 암호화 되지 않은 앱의 데이터 유출 위험 발표

• Trend Micro社는 애플 iOS 운영체제 기기를 겨냥한 Masque Attack을 통해 인기있는 앱에 암호화되지 않고
  저장되는 데이터의 유출을 실험을 통해 확인
   ※ Masque Attack : 보안업체 FireEye에서 명명한 iOS의 프로파일 설치 취약점을 타겟으로 한 멀웨어
• 해당 공격은 enterprise provisioning 형태로 USB 또는 무선 통신으로 유포되며, 탈옥하지 않은 iOS에도 감염
  되므로 사용자의 주의가 필요함
   ※ enterprise provisioning : 애플의 검토를 받지 않고 iOS 기기에 자체 개발 한 앱을 설치 할 수 있는 방법

주요내용

• Trend Micro는 애플 iOS 기기에서 Masque Attack을 통해 정당히 설치한 앱의 비암호화된 데이터의 유출 실험 
  - 애플社는 앱 개발자들의 테스트를 위해 provisioning file에 기기를 등록하여 앱스토어에 앱을 등록하지 않고
    테스트 할 수 있게 함
   ※ provisioning file : 코드 인증 및 디바이스 인증을 담당하는 프로파일
  - Masque Attack은 설치 된 후, 정상 앱과 동일한 번들ID를 가진 악성 앱을 설치하는데 번들ID가 동일하여 추가
    인증 없이 정상 앱을 악성앱으로 대체 할 수 있음
• 악성 코드로 대체 된 앱들 중 인기앱을 기준으로 테스트 한 결과, 앱 내부에 저장되는 데이터가 암호화 되지 
  않고 있는 것을 확인함 
  - 테스트에 사용된 앱은 메시지/통신 관련 앱으로써 이름 및 연락처와 같은 민감한 정보를 저장하고 있음
  - 또한, 중국에서 많이 사용되는 이메일 앱에서도 암호화 되지 않아 보내는 메시지의 내용을 그대로 확인 할 수
    있음

< 메시지 앱에서 암호화 되지 않은 메시지 저장 >

< 암호화 없이 사용되는 중국의 이메일 앱 >

• End-to-End 암호화를 적용한 앱에서는 이런 취약점이 존재하지 않지만, iOS 앱은 안드로이드 기반의 앱 보다
  암호화가 적용된 앱이 많이 부족함
  - 운영체제의 특성에 따라 안드로이드 앱에서는 End-to-End 암호화를 적용한 앱들이 많이 있으나, iOS 앱은 
    해당 기능이 많이 갖춰져 있지 않음

< 안드로이드 기반의 중국 동일 메신져 앱의 데이터 암호화 >

[출처]
1. http://blog.trendmicro.com/trendlabs-security-intelligence/the-other-side-of-masque-attacks-data-encryption-not-found-in-ios-apps/#more-64183
2. http://www.networkworld.com/article/2847857/mobile-security/u-s-government-issues-alert-about-apple-ios-masque-attack-threat.html
3. http://www.wired.com/2014/11/whatsapp-encrypted-messaging/