사파리 웹킷 엔진에서 인덱스드DB API를 구현하는데 문제가 있어, 이 결함은 악용하는 모든 사람에게 실시간으로 브라우징 활동과 사용자 ID가 누출될 수 있다는 사실이 밝혀졌다고 브리핑컴퓨터가 보도했다.

인덱스드DB는 용량 제한이 없는 다목적 클라이언트 측 스토리지 시스템으로, 널리 사용되는 브라우저 API이다. 일반적으로 오프라인 보기를 목적으로 웹 애플리케이션 데이터를 캐싱하기 위해 배포되고, 모듈, 개발 도구 및 브라우저 확장 프로그램에서도 이를 사용해 민감 정보를 저장할 수 있다.

크로스사이트 스크립팅 공격으로 인한 데이터 누출을 방지하기 위해 인덱스드DB는 어떤 리소스가 각 데이터에 액세스할 수 있는지 제어하는 ‘동일 출처 정책’을 따른다.

하지만 해외 보안연구원은 인덱스드DB API가 맥OS의 사파리 15에서는 웹킷 구현의 동일 출처 정책을 따르지 않아 민감 데이터가 유출된다는 사실을 발견했다. 이 개인정보침해 버그는 최신 iOS 및 아이패드OS 버전에서 동일 브라우저 엔진을 사용하는 웹 브라우저에도 영향을 미친다.

동일 출처 정책을 위반한 iOS, 아이패드OS, 맥OS의 사파리 15에서 인덱스드DB를 구현하면 모든 웹 사이트에서 동일 세션에서 동일한 데이터베이스를 생성할 수 있다. 데이터베이스 이름은 일반적으로 고유하고 웹사이트마다 다르기 때문에 이는 검색 기록을 누구에게나 유출시키는 것과 같다. 또한 일부 데이터베이스 이름에는 사용자별 식별자(로그인 후)가 있으므로, API 누출은 잠재적 사용자 식별로 이어질 수 있다.

전문가에 따르면 이 취약점을 통해 누군가를 식별하려면 로그인하고 유튜브, 페이스북 등 유명 웹사이트나 구글 캘린더 등 서비스를 방문해야 한다. 위와 같은 사이트에 로그인하면 새로운 인덱스드DB 데이터베이스가 생성되고, 그 이름에 구글 사용자 ID가 추가된다. 여러 구글 계정을 사용하는 경우 각 계정에 대해 개별 데이터베이스가 생성된다.

사파리 15의 프라이빗 모드도 영향을 받지만 각 탐색 세션은 단일 탭으로 제한된다. 따라서 잠재적 유출 가능한 정보의 범위가 최소한 해당 탭을 통해 방문한 웹사이트로 줄어든다.

이 결함은 웹킷의 이슈이기 때문에 해당 특정 엔진을 사용하는 모든 브라우저(iOS 용 브레이브 또는 크롬 등)도 취약하다.

취약점은 2021년 11월 28일 웹킷 버그 트랙커에 보고 되었고 아직까지 해결되지 않았다. 웹킷 기반이 아닌 웹 브라우저로 전환하는 것이 유일하게 실행 가능한 솔루션이지만 이는 맥OS에만 적용되며, iOS 및 아이패드OS에서는 모든 웹 브라우저가 영향을 받는다.

★정보보안 대표 미디어 데일리시큐!★