아이폰 문서 원본 보기

== 보안 ==
{{성물}}
{{독주}}
{{클라스}}
[[파일:조주빈보안.jpg|500픽셀]]

[[파일:이재명아이폰.jpg|500픽셀]]

[[파일:안민스톤인증.jpeg|500px]]

구글 픽셀은 [http://m.econovill.com/news/articleView.html?idxno=302393#_enliple 1분만에 해킹 성공했지만]

아이폰7은 [http://m.techholic.co.kr/news/articleView.html?idxno=60626 24시간(1440분) 걸려서 해킹 성공했다.]

구글 픽셀폰을 해킹하는건 1'''분'''밖에 안걸리지만 아이폰7 해킹하려면 24'''시간'''(1440분) 소요된다. 

[https://www.forbes.com/sites/daveywinder/2019/11/10/samsung-galaxy-s10-hacked-twice/?sh=6978914e5bd7 갤럭시S10은 해커들에게 뚫리고 3000만원 상금이 되었다.]

iOS는 보안이 강력하기때문에 직원의 안드로이드폰에 원격 해킹앱을 몰래 설치해 직원들의 사생활을 염탐한 양진호 감청 사태같은 해킹이 일어난 적이 없다.[http://m.gobalnews.com/news/articleView.html?idxno=26344] 갤럭시의 백도어 이슈같은 논란이 터진 적이 없다. [https://news.v.daum.net/v/20200108091845005] 갤럭시처럼 폰이 해커한테 해킹당해 연예인의 개인정보(문자 사진 영상 주소록)가 털린 이슈가 없다.[https://www.dispatch.co.kr/2059115#_enliple] 안드로이드10은 스트랜드 호그(StrandHogg)라고 불리는 취약점을 가지고 있다. 그것의 악영향은 다음과 같다. 

1. 해커들은 마이크를 통해 사용자의 목소리를 들을 수 있습니다. 2. 카메라를 통해 사진을 찍을 수 있습니다. 3. SMS메세지를 읽고 보낼 수 있습니다. 4. 통화 기록을 만들거나 통화내용을 녹음할 수 있습니다. 5. 로그인 자격증명을 피싱할 수 있습니다. 6. 장치의 모든 개인 사진을 포함한 파일을 열람할 수 있습니다. 7. 위치 및 GPS의 정보를 얻어낼 수 있습니다. 8. 연락처 목록을 열람할 수 있습니다. 9. 전화 기록을 열람할 수 있습니다. 
 

즉, 이 취약점으로 인해 해커의 악의적인 앱이
합법적인 앱인것처럼 가장하면서 권한을 요청할 수 있습니다. 
 

공격자(해커)는 SMS, 사진, 마이크 및 GPS를 포함한 모든 권한에 대한 접근을 요청하여 
대상(사용자)의 메세지를 읽고, 사진을 보고, 조청하고, 피해자의 움직임을 추적할 수 있습니다. 
 

이 공격은 대상(사용자)의 다른 여러 앱이
자연스럽게 요구할 수 있는 권한을 요청하도록 설계되어 피해자의 의심을 줄입니다. 
 

대상(사용자)은 자신이 사용하고 있다고 생각하는
실제 앱이 아니라 공격자(해커)에게 권한을 부여하고 있음을 알지 못합니다. 
 
 
이 취약점을 악용함으로써 장치에 설치된 악성앱은 장치를 공격하고, 
이를 속여 합법적인 앱의 아이콘을 터치하면 사용자 화면에 악성앱이 대신 표시되도록 할 수 있습니다. 
 
피해자가 이 악성앱의 화면에 로그인정보(아이디,패스워드), 카드정보등의 주요정보를 입력을 시도하면 
해당 정보가 즉시 공격자(해커)에게 전송되며, 이를 사용하여 중요앱에 로그인하여 제어할 수 있습니다. 

StrandHogg는 장치를 루팅할 필요없이 (관리자 권한이 필요없이)
정교한 공격을 가능하게 하는 독특한 취약점으로,
안드로이드의 멀티태스킹 시스템의 약점을 사용하여
악성앱이 장치의 다른 앱인것처럼 위장할 수 있는 강력한 공격을 수행합니다. 
이는 악의적인 앱을 포함한 모든 앱이 원하는 멀티태스킹 시스템에서 자유롭게
신원을 가정할 수 있도록 하는 'TaskAffinity'라는 안드로이드 컨트롤 설정을 기반으로 합니다. 

Promon은 이 심각한 결함을 악용하는 실제 멀웨어에 대한 연구를 수행했으며, 
안드로이드10을 포함한 모든 안드로이드 버전에 영향을 미치면서 가장 인기있는 500개앱
(앱 인텔리전스 회사 42Matters가 평가한 상위 500개 앱)이 모두 영향을 받는것으로 나타났습니다. 
이 취약점은 Promon에 의해 해안지역을 습격하여 몸값을 약탈하는
바이킹 전술의 오래된 노르웨이어인 'StrandHogg'로 명명 되었습니다. 
Promon의 연구는 2015년에 Penn State University가 수행한 연구를 통해 크게 확장되었으며, 
이 연구에서 연구원들은 이 취약성의 특정 측면을 이론적으로 설명했습니다. 
당시 구글은 이 취약점의 심각성을 일축했지만, Promon은 해커들이 디바이스와
앱에 접근하기 위해 StrandHogg를 악용하고 있다는 확실한 증거를 가지고 있습니다. 

아이폰은 안드로이드10같이 스트랜드 호그(StrandHogg)와 같은 보안 취약점이 발생한 적이 없다. 
[https://lionsmart.tistory.com/44],[https://promon.co/security-news/strandhogg/]

[https://m.news.naver.com/read.nhn?mode=LSD&mid=sec&sid1=105&oid=293&aid=0000027061 미국표준기술연구소(NIST): 안드로이드는 최악의 보안 구멍 OS]

FBI가 테러리스트의 아이폰 잠금해제를 하려하거나  대한민국 검찰이 용의자의 휴대폰을 압수수색 하려고 수많은 시간과 비용을 써도 아이폰의 보안 시스템을 뚫기가 어렵다.[http://m.tf.co.kr/read/economy/1770437.htm?retRef=Y&source=http://m.dt.co.kr/contents.html?article_no=2016040802109954797004][https://m.chosun.com/news/article.amp.html?sname=news&contid=2019121600123][http://m.dt.co.kr/contents.html?article_no=2016040802109954797004]

[http://www.donga.com/news/article/all/20200122/99367553/1 이것은 iOS의 보안이 뚫린게 아니라 무수히 많은 시간동안 무자위 대입으로 푼거다. 자물쇠를 뚫은게 아니라 자물쇠 비밀번호를 0000부터 9999까지 하나하나 맞춰보면서 풀릴 때까지 노가다 한 것이다.]

[https://m.chosun.com/svc/article.html?sname=news&contid=2020033100144&utm_source=undefined&utm_medium=unknown&utm_campaign=news 이건 이스라엘 장비로 풀었는데 아이폰 비밀번호 연속으로 틀리면 데이터가 다 날아가기때문에 아이폰을 수없이 많이 복제한 다음(아이폰 1대 복제하는데 1억 줘야한다. 안드로이드폰 해킹툴은 공짜) 000000~999999까지 하나하나 무자위 대입해서 푸는데 4달걸렸다. iOS의 보안을 뚫을 수 없으니 시간이 걸려도 폰 복제해 무자위 대입하는게 유일하게 잠금해제하는 방법이다. 따라서 잠금화면 비밀번호를 6자리 숫자대신 알파벳+특수문자+숫자 조합으로 10자리 이상 설정해 놓으면 '''무자위 대입 노가다로도 절대 풀 수 없다.''']

가끔 할리우드 배우들 아이클라우드 해킹됐다고 하는 놈들 있는데 그건 비밀번호를 123456 qwerty p@ssword 이런 식으로 만들어서 비밀번호가 뚫린거다. 니네집 비밀번호를 123456으로 설정했는데 니네 집  도둑맞은거 보고 아 우리집 도어락 개쓰레기네 하는 꼴임.

[[iOS]]7.0.3부터 아이폰 사파리에서는 그 어떤 사이트에 접속해도 비밀번호 치는칸에는 자동암호 추천을 해주고 자동암호는 icloud keychain에 영구저장된다. 또 니가 a&@c3?"2*72|@2같은 이상한 암호를 치더라도 icloud keychain에 자동저장 되기에 비밀번호 걱정은 절대 안해도 된다. icloud 키체인 덕분에 로그인할때 비번 생각안나도 저장했던 비번 자동으로 기입되니 편하다. 물론 icloud keychain에 저장된 암호는 너만 볼 수있다. 키체인을 통해 자신이 설정한 쉬운 암호로 로그인하면 키체인은 더 뚫기 힘든 암호로 바꾸라고 제안해준다. 클릭하면 뚫기 어려운 암호로 자동 변경할 수 있다. 

보안이 워낙 까다로워 컴퓨터에 아이폰 몇 번 연결하면 애플 아이디 잠기고 암호 재설정 해야 쓸 수 있다. 

iOS의 매우 강력한 보안과 달리 '''[http://m.news1.kr/articles/?3446186 주민등록증만 있으면 10분도 안 걸려서 제작 완료하는 실리콘 지문로 뚫리는 지문인식]''' 기능을 갖고있다. 뭐 삼성 갤럭시의 2019년 출시 기기 중 온스크린 지문인식 지원 기종(초음파 - S10, S10+, S10 5G, 노트10, 노트10+, 광학식 - A60을 제외한 A50 이상 A 시리즈, 탭 S6)에서 발생했던 지문인식 버그보다는 낫지만 삼성의 사례는 디스플레이 내장형에서만 발생한 거고 애플은 홈 버튼에서 발생한 거다.

하지만 실리콘 모조지문은 지문인식 기능 자체의 문제이지 아이폰의 단점이라고 보기 힘들다는 시각도 있다. [https://support.apple.com/ko-kr/HT208108 애플도 지문인식보안의 한계를 극복하기 위해 FACE ID를 2017년부터 도입했고], 애플 키노트에서 지문인식보다 20배 보안이 강력하다고 밝혔다.
([https://cm.asiae.co.kr/article/2017091310203977377 터치ID가 다른 사람의 지문으로 뚫린 확률은 5만분의1이며 페이스ID는 100만분의 1이다.])

[[파일:페아보안.jpg]]