베트남 은행 앱, 사용자 감시를 위해 비공개 iOS API 사용 적발
2025-03-31
베트남에서 인기 있는 은행 앱인 BIDV SmartBanking과 Agribank Plus가 사용자의 iPhone에 설치된 다른 앱을 감지하기 위해 숨겨진 비공개 iOS API를 사용하는 것으로 드러났습니다. 보안 연구원에 따르면, VNPay가 개발한 이 앱들은 상용 모바일 앱 보호 소프트웨어와 "VNPay Runtime Protection"이라는 사용자 정의 코드를 사용합니다. 이 코드는 비공개 iOS API의 사이드 채널 취약성을 악용하여 앱을 식별하고, 약한 XOR 암호화를 사용하여 API 문자열을 숨깁니다. 이는 Apple의 App Store 정책을 위반하며, 앱 삭제 위험이 있으며 수백만 명의 사용자에게 영향을 미칠 수 있습니다. 이 사건은 모바일 보안 솔루션인 BShield과는 무관합니다.