## 애플, 구형 iOS 대상 사이버 공격 경고: Coruna 및 DarkSword 익스플로잇
애플은 iOS 13, 14, 17을 실행 중인 기기 소유자와 iPadOS 사용자에게 중요한 알림을 보내고 있습니다. 설정 앱에서 온 메시지는 Coruna와 DarkSword 익스플로잇을 이용한 진행 중인 공격에 대해 경고합니다. 이러한 익스플로잇 체인은 iOS 13부터 17.2.1 버전의 취약점을 노려 악성 링크나 웹사이트를 통해 원격 액세스를 가능하게 합니다.
공격 메커니즘 및 범위
알림은 잠금 화면에 Critical Software 경고로 나타납니다. 애플은 iOS 17.0 이하 버전에 대한 공격을 확인했습니다. 영향을 받는 기기는 3월 11일 패치를 받지 않은 기기들입니다: iOS 15.8.7, iOS 16.7.15 및 해당 iPadOS 버전.
Coruna와 DarkSword 익스플로잇은 최소한의 상호작용으로 작동합니다:
- 악성 링크 클릭.
- 손상된 웹사이트 방문.
이로 인해 기기 감염, 데이터 추출, 잠재적 지속 액세스가 발생합니다.
iOS 13/14의 경우 iOS 15 중간 업데이트 후 패치를 적용해야 합니다. 최신 업데이트가 적용된 iOS 15–17 버전은 기본적으로 보호됩니다.
보호 권장 사항
애플은 위험을 최소화하기 위해 다음 단계를 권장합니다:
- OS 업데이트: 설정 > 일반 > 소프트웨어 업데이트를 통해 iOS 15.8.7 이상 또는 iOS 16.7.15 이상 설치.
- Lockdown Mode: 설정 > 개인 정보 보호 및 보안 > Lockdown Mode 활성화 (iOS 16 이상에서 사용 가능). 공격 표면을 줄이기 위해 기능을 제한합니다.
- 의심스러운 링크 피하기: Safari나 iMessage에서 알 수 없는 URL 열지 않기.
- 알림 모니터링: 잠금 화면의 시스템 알림 확인.
| iOS/iPadOS Version | 3월 11일 패치 후 상태 | 필요한 조치 |
|-------------------|-----------------------------|---------------------|
| 13–14.x | 취약 | 15로 업데이트 후 패치 |
| 15.x (15.8.7까지) | 취약 | 15.8.7 이상 설치 |
| 16.x (16.7.15까지)| 취약 | 16.7.15 이상 설치|
| 17.0–17.2.1 | 취약 | 17.2.2 이상으로 업데이트|
| 15–17 (최신) | 보호됨 | 업데이트 유지 |
익스플로잇의 기술적 세부 사항
Coruna와 DarkSword는 WebKit과 커널 취약점을 노리는 zero-click 또는 one-click 익스플로잇 체인입니다. Safari의 샌드박싱을 우회해 root 권한으로 권한 상승을 일으킵니다. 분석 결과 JavaScriptCore와 IOKit 드라이버의 CVE가 사용된 것으로 드러났습니다.
개발자는 다음을 고려해야 합니다:
- 취약 iOS 버전에서 WebView 테스트.
- 앱 내 네트워크 요청 격리.
- 의심스러운 JS 실행 로깅.
Lockdown Mode는 WebKit의 JIT를 비활성화하고, 메시지 첨부 파일을 차단하며, P2P 연결을 제한해 많은 공격 벡터를 무력화합니다.
주요 포인트
- 활성 익스플로잇: Coruna와 DarkSword가 iOS 13–17.2.1에서 활성; 3월 11일 업데이트로 zero-day 차단.
- 광범위 영향: 모든 취약 기기에 알림; iOS 13/14는 단계적 업데이트 필요.
- Lockdown Mode 대안: 표적 공격에 효과적이나 사용성 저하.
- 사전 경고: 애플이 실시간으로 위협 인텔리전스 모니터링.
- 최신 버전 보호: iOS 15–17 패치됨; 레거시 기기에 초점.
중/시니어 개발자: WKWebView에 콘텐츠 차단기 통합, ATS 로그 이상 감지. 기업의 경우 MDM으로 필수 업데이트 및 Lockdown Mode 강제 적용.
— Editorial Team
아직 댓글이 없습니다.