포켓몬고 iOS 보안취약점 해결

세계적으로 수백만 명이 즐기는 게임으로 크게 성공한 포켓몬고(Pokemon Go)의 iOS 앱에 보안취약점이 있었던 것으로 밝혀졌다.

포켓몬고를 실행하려면 구글이나 pokemon.com 웹사이트에서 계정을 생성해야 한다. 그런데 pokemon.com 웹사이트의 경우 서버 과부하 때문인지는 확실하지 않지만 신규 가입이 진행되지 않는다. 그러므로 구글 계정을 만들어야 하는데 여기서 문제가 생긴다.

게임이 출시되고 나서 이틀 뒤 보안전문가 Adam Reeve가 블로그를 통해 이 문제를 최초로 제기했다. Reeve에 따르면 포켓몬고 그리고 제작사 나이앤틱(Niantic)이 자신의 구글 계정 무제한으로 접근할 수 있었다고 한다. 다행히도 이 문제는 iOS에서만  발생하힌ㄷ디 ㅠㅔㅁ으로 보이며 안드로이드 앱의 경우 계정정보에 대한 접근을 따로 요청하지 않는다.

제한 없는 접근이 승인될 경우 포켓몬고와 나이앤틱이 실행 가능한 행동은 다음과 같다.

• 사용자 이메일 열람

• 사용자 이름으로 이메일 전송

• 구글드라이브 문서 접근 및 변경 가능

• 구글포토에 보관된 모든 사진 접근 가능

업데이트

나이앤틱은 여러 보도채널을 통해 다음과 같이 밝혔다. "나이앤틱은 최근 iOS 포켓몬고 계정생성과정에서 사용자 구글계정에 대한 무제한 접근을 요청하는 오류가 발생한다는 사실을 발견했다. 하지만 포켓몬고가 실제 접근하는 부분은 구글 기본프로필(사용자 ID 및 이메일주소)에 국한되며 구글계정의 다른 정보에 대한 수집이나 접근은 없었다. 포켓몬고나 나이앤틱이 실제 사용하는 데이터에 맞도록 기본 구글프로필 정보에 대해서만 승인을 요청하도록 클라이언트 수정을 시작했다. 구글은 조만간 포켓몬고 승인수준을 포켓몬고가 실제로 필요로 하는 기본프로필에 대해서만 승인을 요청하게 되며 사용자들이 따로 어떤 조치를 취할 필요는 없다."

나이앤틱은 최근 iOS 포켓몬고를 1.01 버전으로 업데이트했으며 안정성 그리고 중단오류(crash)해결과 더불어 구글계정 접근승인요청의 침습성을 줄이겠다고 약속했다. 해당 업데이트는 애플 앱스토어를 통해 설치할 수 있다.

VIPRE Security News, Pokemon Go: the Security Flaw and the Fix, 7. 14. 2016.

https://blog.vipreantivirus.com/uncategorized/pokemon-go-security-flaw-fix/

번역: madfox

참고링크 

<유료안티바이러스 제품소개>