IT·TECH

Apple, 디스플레이 크래킹으로 인해 MacBook 카메라 커버에 대해 조언

Bucket List 2020. 7. 12. 10:05

 

 

 

새로운 지원 문서에서 Apple은 사용자가 카메라 덮개로 MacBook 덮개를 닫지 않도록 경고하고 있습니다.

 

랩톱 카메라 위에 덮개, 스티커 또는 테이프를 배치하는 것은 개인 정보 보호 및 보안에 민감한 개인이 웹캠 하이재킹을 방지하기 위해 채택하는 관행입니다. 그러나 이제 애플은 전술에 대해 명시 적으로 조언하고있다.

 

7 월 초에 발행 된 지원 문서에서 Apple은 카메라 덮개가 설치되어있는 경우 MacBook Pro 또는 MacBook Air 덮개를 닫지 말 것을 권장합니다.

 

https://support.apple.com/en-us/HT211148

 

Don't close your MacBook, MacBook Air, or MacBook Pro with a cover over the camera

Closing your Mac notebook with a camera cover on it might damage your display. Designed to protect your privacy, Mac notebooks have a camera indicator light to let you know when the camera is on.

support.apple.com

 

"카메라 덮개가 설치된 상태로 Mac 노트북을 닫으면 모니터와 키보드 사이의 간격이 매우 좁아 지도록 설계되어 모니터가 손상 될 수 있습니다."라고 Apple은 말합니다.

 

또한 지원 문서에는 카메라가 활성화 될 때 사용자에게 알려주는 녹색 표시 등 및 macOS Mojave에 도입 된 카메라 권한 설정을 포함하여 카메라의 일부 개인 정보 보호 및 보안 기능이 요약되어 있습니다.

 

녹색 표시등이 보안 수단이지만 과거에는 취약점으로 인해 공격자가 MacBook 카메라를 가로 챌 수있는 경우가 있었습니다.

 

그렇다면, 이게 뭔소린지 알아야 합니다. 찾아보니 꽤 오래전에 이슈가 되었던 겁니다. 

2014년 뉴스 중에 그와 관련된 뉴스가 있습니다. 

 

연구원들은 사용자에게 알리지 않고 iSight 카메라를 활성화하는 방법을 찾습니다

 

Johns Hopkins University의 보안 연구원은 기존 MacBook 및 iMac 모델의 iSight 카메라가 카메라의 LED를 켜지 않고도 이미지를 캡처할 수있는 독창적 인 새로운 공격을 시연했습니다.

 

연구원인 Matthew Brocker와 Stephen Checkoway는 iSight 카메라의 컨트롤러칩 내부의 펌웨어를 대상으로하는 공격에 대해 "iSeeYou : MacBook 웹캠 표시기 LED 비활성화"라는 제목의 논문으로 설명합니다. 

 

이 내용은 워싱턴 포스트에 의해 처음 보도되었습니다.

 

Apple은 카메라 센서와 표시기 LED 사이에 "하드웨어 인터록"을 사용하여 iSight 카메라 시스템을 설계했습니다. 

 

논문에 따르면 LED는 카메라 센서의 대기 핀에 직접 연결되어 있습니다. Â 카메라가 대기 모드에서 나오면 LED가 자동으로 켜집니다.

 

Brocker와 Checkoway는 카메라 마이크로 컨트롤러의 펌웨어를 다시 프로그래밍하여 카메라가 컴퓨터의 나머지 컴퓨터와 통신하는데 사용하는 USB 인터페이스에서 전송된 대기 신호를 무시함으로써 하드웨어 인터록을 우회할 수 있었습니다. 

 

이런 식으로 카메라 센서가 활성화되어 있어도 LED는 여전히 USB 대기 신호를 따르고 있기 때문에 꺼져 있습니다.

 

이 공격은 관리자 수준의 권한이나 랩톱에 대한 물리적 액세스가 필요하지 않기 때문에 특히 걱정됩니다. 

 

현재 iSight 카메라가 내장된 2008년 이전에 제조된 MacBook 및 iMac에만 영향을 미치며 연구원들은 기존 하드웨어에 롤아웃 할 수 있는 취약점을 완화하는 두 가지 방법이 있다고 합니다.

 

OS X Mountain Lion에 도입된 Apple의 Gatekeeper 응용 프로그램 샌드 박스는 카메라와 USB 컨트롤러에 대한 신뢰할 수 없는 응용 프로그램의 액세스를 거부하도록 업데이트 될 수 있습니다. 

 

Brocker와 Checkoway가 개념 증명을 개발한 또다른 전략은 OS X의 커널을 확장하여 특정 명령이 카메라로 전송되지 않도록하는 것입니다.

 

논문에 따르면 연구원들은 2014년 여름 초 애플 보안팀에 이에 대한 해킹을 공개했습니다. 

 

듀오는 "애플 직원들은 여러 차례 후속 조치를 취했지만 가능한 완화 계획을 알려주지 않았습니다"고 말했다네요.

 

 

그리고, 3개월전 기사를 찾아 보니 이런 것도 있군요.

 

iPhone 및 MacBook 카메라를 가로 챌 수있는 Apple 취약점 패치 

윤리적인 "하얀 모자"해커는 2019년 12월에 Apple의 자체 앱을 악용하여 악의적인 웹 사이트가 패치된 결함을 사용하여 사용자의 카메라와 마이크에 제한없이 액세스 할 수 있는 방법을 보여줍니다.

 

전 아마존 웹 서비스 보안 엔지니어 Ryan Pickren은 Apple의 Safari에서 사용자 카메라를 가로채는데 사용될 수 있는 7가지 제로 데이 취약점을 발견했습니다. 

 

이 취약점으로 인해 Safari는 Uniform Resource Identifiers를 구문 분석하고 웹 출처를 관리하며 보안 컨텍스트를 초기화하는 방식을 악용했습니다.

 

유일한 요구 사항은 사용자의 카메라가 Zoom과 같은 화상 회의 사이트를 신뢰해야한다는 것입니다. 

 

해당 기준이 충족되면 사용자는 공격 체인을 사용하는 사이트를 방문할 수 있으며 해커는 iOS 및 macOS 모두에서 사용자 카메라에 액세스 할 수 있습니다.

 

Pickren은 Apple Bug Bounty 프로그램에 대한 연구를 제출했으며 그의 공헌에 대해 $75,000를 지불했습니다. 

 

Apple은 2020년 1월 28일 Safari 13.0.5 업데이트에서 3가지 보안 결함 (카메라 하이재킹이 허용된 결함)을 수정했습니다. 

 

4개의 나머지 결함은 3월 24일 Safari 13.1 릴리스까지 수정되지 않았습니다.

 

"운영 체제 또는 제조업체에 관계없이 이런 버그는 왜 사용자가 자신의 카메라가 안전하다고 확신하지 않아야하는지 보여줍니다."

 

Pickren은 "소프트웨어에서 가정을 찾고 그러한 가정을 위반하여 어떤 일이 발생하는지 확인하여" 버그를 발견했습니다. 

 

애플은 거의 모든 앱에 마이크와 카메라에 대한 명시적인 권한을 부여해야하기 때문에 카메라 보안 모델이 깨지기 어렵다고 지적했습니다. 

 

따라서 악의적인 타사 앱이 사용자의 명시적인 허가없이 액세스할 가능성이 훨씬 줄어 듭니다.

 

그러나 이 규칙의 예외는 Safari와 같은 Apple의 자체 앱입니다. 

 

Pickren은 이 예외를 악용하여 버그를 발견 할 수 있었습니다. 

그는 카메라에 접근할 때까지 "모호한 코너 케이스로 브라우저를 망치게 했다".

 

 

 

 

 

 

 

다시 돌아와서,

 

 

 

 

사용자가 업무용으로 어떤 종류의 카메라 덮개를 적용해야하는 경우 Apple은 잔여물이 남지 않는 프린터 용지보다 두껍지 않은 덮개를 사용하도록 권장합니다.

 

 

디스플레이 크래킹에 대한 사용자의 불만에 대한 답변으로 지원 문서가 게시되었을 수 있습니다. 

 

Reddit 및 기타 소셜 플랫폼에 대한 일부 보고서에 따르면 웹캠 덮개는 특히 베젤이 얇기 때문에 16 인치 MacBook Pro에서 비싼 디스플레이 크랙을 일으킬 수 있다고 합니다.

 

 

 

전문가들이 권장하는 방법은 카메라 위에 불투명 3M 테잎을 붙여 놓는 겁니다.

 

가장 돈이 적게 들면서 가장 안정한 방법입니다.

쓰잘떼기 없는 카메라 덥게를 구입하는데 돈을 낭비하지 마세요.

그런 장치를 맥북에 달았다가 액정과 키보드 망가지면 수리비가 어마어마합니다.

 

 

 

애플,맥북,카메라,보안이슈,카메라덥게,