본문 바로가기

삶은계란 (Diary)/버그찾기

애플에 보안 취약점 제보하기 (feat. 애플 홈페이지에 이름 석자 올려 보기)

서론

많이, 아주 많이 지난 이야기다.

때는 2019년 전역 이후 아직은 '학생'이라는 신분이 어울리던 때로,
iOS 13.1.1에서 앱스토어에 로그인된 상황에서 로그아웃을 하고,
동일한 계정으로 다시 로그인을 수회 시도한 뒤에는 어떤 비밀번호 건 간에 로그인이 되는 희한한 버그였다.

원래의 비밀번호를 노출하지 않기 위해 정상적으로 로그인하는 부분은 잘라냈지만,
영상에서와 같이 애초에 올바른 비밀번호의 형식이 아니기 때문에 충분히 어떤 상황인지 확인할 수 있다.

이러한 문제를 발견하면 어떻게 대처해야 하는지,
또 어떤 식으로 진행되는지 간단하게 정리해 본다.

 

본론

어디로?

대부분의 기업들이 그렇듯, 애플도 제품과 보안 문제에 대한 피드백을 듣기 위해 연락처를 열어둔다.

제품 피드백

 

Product Feedback

We would love to hear your comments about any of our hardware and software products. Send us your thoughts.

www.apple.com

보안 문제 보고

 

Report a security or privacy vulnerability

If you believe you have discovered a security or privacy vulnerability in an Apple product, please report it to us.

support.apple.com

솔직히 홈페이지에서 찾으라면 몇 분이고 헤맬 자신이 있을 정도로 꼭꼭 숨겨둔 편에 속하는데,
보안 문제 보고에 대한 페이지도 제품 피드백 페이지에서 쉽게 찾을 수 있다.
혹시나 애플 제품에 대해 마음에 안 드는 점이 있다면 제품 피드백을 이용하면 좋다.
운이 좋고 설득력이 있으면 팀 쿡의 메일함으로 전달될 지도...

어떻게?

페이지의 내용을 읽어 보면 product-security@apple.com 주소로 해당 내용을 보내주길 안내하고 있고,
포함해야 할 내용은 다음과 같다.

  • 재현 기기
  • 재현 가능한 소프트웨어 버전
  • 재현 방법
  • 재현 방법이 복잡하다면 비디오 혹은 순서대로 정리된 리스트

또한, 이메일을 보낼 때 민감한 내용이 존재한다면 PGP를 사용해 메일을 암호화하거나,
대용량 첨부를 위해 Mail Drop을 사용할 수 있다.

최초로 보낸 메일은 위와 같다.
iOS의 버전과 사용 중인 기기를 작성하고,
간단한 재현 방법과 영상을 함께 첨부했다.

PGP의 사용에는 별도의 SW가 필요하고,
이게 꽤나 번거로웠기 때문에 비밀번호가 포함된 영상만 구글 드라이브의 링크를 사용해 첨부하고,
이후 암호를 변경하는 것으로 결정했다.

보통은 문의 메일 등은 영어로 적어 보내는 편인데,
이번의 경우 내용을 명확히 하기 위해 개떡 같은 영어 대신 찰떡같은 한국어로 보냈다.

경과

2019.09.28.

메일을 전송한 즉시 문의가 접수됐다는 자동 메일이 도착하게 된다.
보낸 메일은 보안팀에게 전달되고 담당자가 검토하게 된다.

2019.10.12.

그리고 한참이 지난 10월 12일
담당자에게 다시 한번 직통 메일이 도착하게 된다.

답변을 준 사람은 Daven이고,
해당 문제를 검토했고, 이를 확인해 조사 중에 있다는 답변이다.
조사 중에 추가적인 정보가 필요할 수 있어, 지속적인 연락을 당부하고 있고,
추가적인 정보가 있다면 해당 메일의 Case 번호를 포함해 연락하면 직통으로 넘기겠다는 말도 담겨있다.

해당 문제를 해결하기 위해 어떤 상태에 존재하는지를 내게 보고하진 않지만,
상황이 궁금하거나 하면 해당 메일을 통해 물어보는 것도 가능한 모양이다.

이 때는 진로로 앱 개발에는 전혀 관심을 두고 있지 않던 터라 따로 물어보진 않았는데,
상황이 달라진 지금은 어떤 문제였는지 물어라도 볼 걸 그랬나 싶긴 하다.

2019.10.17.

며칠이 지난 뒤,
애플은 보안 업데이트에 착수한 경우 보고한 사람, 단체에 대해 명부를 작성하는 대우를 하고 있다는 메일이 도착했다.

 

Apple security updates

This document lists security updates for Apple software.

support.apple.com

모든 버전의 모든 보안 업데이트에 관해 위의 링크에 차트 형식으로 정리를 하는데,
꽤나 다양한 오류들이 존재했고, 고쳐 왔다는 것을 알 수 있다.

기쁜 마음으로 이름을 주었고,

2019.10.30.

얼마 뒤 업데이트 공개와 함께 보안 업데이트 내역과 명부를 함께 받을 수 있었다.

 

결론

 

About the security content of iOS 13.2 and iPadOS 13.2

This document describes the security content of iOS 13.2 and iPadOS 13.2.

support.apple.com

그렇게 애플의 홈페이지에는 내 이름 석자가 박제돼있다.
필명을 불러 줄까 하다가 언제든 바뀔 수 있는 필명보다는 영구적인 한글 몇 자 적혀 있는 것도 신기하지 않을까 해서 이름을 줬고,
이는 실제로 필명이 바뀐 지금 꽤 현명한 선택이었다고 생각한다.
기업들의 정책에 따라, 중요도에 따라 포상금이나 보상이 있는 경우도 있는데,
이 경우 잠재적 취약점으로 분류돼 보상까지는 이어지지는 않았다.

그래도 오랜 기간 사용했고, 일상의 대부분을 함께 하는 iOS와 그에 대한 관심이
이렇게 보이는 결과로 남게 돼 감회가 새로웠고, 잠시 시들했던 애플 베타 피드백도 다시 하게 된 계기가 됐다.