Apple Safari 브라우저에서 발견된 IndexedDB API 취약점

Apple Safari 브라우저에서 발견된 IndexedDB API 취약점에 대해 알아보겠습니다.

 

Apple Safari 15의 Webkit 엔진에서 사용되는 IndexedDB API에서 취약점이 발견되었습니다.

 

해당 취약점을 악용하면 악성 웹사이트에서 사용자의 웹 브라우저를 통해

인터넷 사용 기록을 추적하고, 사용자들의 구글 계정 정보를 식별할 수 있습니다.

 

IndexedDB 취약점은 사기 방지 소프트웨어 회사 'FiingerprintJS'에 의해 공개되었으며,

2021년 11월 28일 애플 측에 처음 보고되었습니다.

 

IndexedDB가 무엇인가요?

 

파일 및 Blob과 같은 구조화된 데이터 개체의 NoSQL 데이터베이스를 관리하기 위해

웹 브라우저에서 제공하는 저수준 JavaScript API(응용 프로그래밍 인터페이스) 입니다.

 

일반적으로 오프라인 상태에서 볼 수 있도록 웹 애플리케이션 데이터를 캐싱하기 위해 배포되며,

모듈, 개발 도구 및 브라우저 확장 프로그램에서도

IndexedDB를 사용하여 민감한 정보를 저장할 수 있습니다.

 

원인이 무엇인가요?

 

macOS의 사파리 15와 iOS 및 iPadOS 15의 모든 브라우저에서

IndexedDB API가 *동일 출처 정책을 위반하여 영향을 미친 것으로 확인되었습니다.

 

* 동일 출처 정책

어떤 출처에서 불러온 문서나 스크립트가 다른 출처에서 가져온 리소스와

상호작용하는 것을 제한하는 중요한 보안 메커니즘

 

동일 출처 정책은 악성 웹사이트가 다른 도메인에서 데이터를 읽기 위해

임의의 JavaScript 코드를 실행하는 것을 방지함으로써

잠재적인 악성 스크립트를 격리하고 공격 벡터를 줄여줍니다.

그러나, iOS, iPadOS 및 macOS의 Safari에서 IndexedDB API를 처리하는 방법은 그렇지 않습니다.

 

어떤 정보가 유출될 수 있나요?

 

(1) 인터넷 사용 기록

웹사이트가 데이터베이스와 상호 작용할 때마다 동일한 브라우저 세션 내의

다른 모든 활성 프레임, 탭 및 창에 동일한 이름의 새 데이터베이스가 생성됩니다.

이로 인해 웹사이트에서 사용자가 다른 탭이나 창에서 어떤 웹사이트를 방문하는지 알 수 있게 됩니다.

 

(2) 계정 정보

구글 서비스에는 단일 구글 계정을 고유하게 식별하는 내부 식별자인 인증된 구글 사용자 ID를 포함하여

IndexedDB를 생성하기 때문에 사용자를 정확히 식별할 수 있습니다.

뿐만 아니라 동일한 사용자가 사용하는 여러 개의 개별 계정을 함께 연결할 수 있습니다.

 

영향을 받는지 확인하고 싶다면?

 

사용자가 브라우저 창의 동일한 탭 내에서 여러 다른 웹사이트를 방문할 경우,

Safari 15의 개인 브라우징 모드 또한 IndexedDB 취약점의 영향을 받습니다.

 

또한, 최신 iOS 및 iPadOS 버전에서 동일한 브라우저 엔진을 사용하는 웹 브라우저에도 영향을 미칩니다.

 

Safari 브라우저로 아래의 페이지에 접근하면 IndexedDB 취약점에 영향을 받는지 확인할 수 있습니다.

https://safarileaks.com/

 

현재 상황은 어떤가요?

 

IndexedDB 취약점은 여전히 해결되지 않은 상황입니다.

보안 업데이트가 제공될 때까지 문제를 완화하는 한 가지 방법은

모든 JavaScript를 차단하고 신뢰할 수 있는 사이트만 허용하는 것이지만,

웹페이지에서 기능 문제를 일으켜 모두에게 좋은 해결책은 아닐 수 있습니다.

 

macOS에서는 Webkit 기반이 아닌 웹 브라우저 사용을 권장합니다.

 

iOS & iPadOS의 경우 애플이 iOS에서 다른 브라우저 엔진을 금지하기 때문에,

모든 웹 브라우저가 취약점에 영향을 받습니다.

 

감사합니다.

 

제작 : MIR Team

문의 : mss_analysis@cyberone.kr