iOS 13 0day 탈옥 익스플로잇 'tachy0n' 심층 분석: Lightspeed 버그와 커널 보안 전략 변화

핵심 기술: tachy0n은 iOS 13.0~13.5 버전을 대상으로 하는 최신 0day 탈옥 익스플로잇으로, Lightspeed라는 이름의 lio_listio 시스템 콜 경쟁 상태(race condition)를 이용한 커널 권한 상승(LPE) 취약점을 공개 사례입니다. 이는 Spice 및 unc0ver 등 여러 탈옥 프로젝트에서 활용되었으며, 메모리 관리 해킹 기법을 포함합니다.

기술적 세부사항:
* 취약점 개요: lio_listio 시스템 콜의 비동기 I/O 컨텍스트 메모리 해제 시 발생하는 경쟁 상태(CVE-2020-9859 등)를 이용합니다.
* 메모리 조작: 메모리 더블 프리(double free) 조건을 만들기 위해 I/O 연산 타이밍을 조절, 동일 메모리 영역에 여러 객체를 중첩 활용합니다.
* 핵심 기법: 커널의 kalloc.16 존 동적 메모리 할당 구조를 익스플로잇에 활용하며, 경쟁 레이스를 반복하여 성공 확률을 높입니다.
* 탈옥 프로젝트 활용: Spice, unc0ver 등에서 활용되었으며, racoon과 app 변종은 mach 포트 위조를 목표로 합니다.
* 과거 기법과의 연관성: iOS 11.x의 PAN(Protection Against Null dereference) 우회, 커널 infoleak, sandbox escape 기법과 결합된 사례가 있습니다.
* 고도화된 기술: OSUnserializeXML을 활용한 커널 객체 생성, sysctl_procargsx, 커널 uninitialized memory leak, zone_require 우회 등을 사용합니다.
* A8~A13 지원: A8~A13 SoC 전반에서 동작하도록 exploit 구조가 설계되었습니다.
* 메모리 제어: OSData 객체 중첩/오버랩핑 추적, IOMemoryDescriptor를 이용한 사용자 제어 데이터 버퍼 주소 노출 및 커널 직접 읽기/쓰기를 구현합니다.

개발 임팩트: 이 익스플로잇 공개는 Apple의 iOS 보안 전략에 큰 변화를 가져왔습니다. Apple은 패치와 더불어 리그레션 테스트 도입, 커널 오브젝트 분리 및 포인터 보호 기능을 강화했습니다. iOS 14부터는 allocation 영역 분리, 오브젝트 시큐어 가드, PAC, kheap 구조 강화 등으로 익스플로잇 제작 난이도가 크게 상승했으며, 공개된 커널 익스플로잇이 사실상 존재하지 않는 상황으로 이어졌습니다. 이는 iOS 보안/탈옥 분야가 5년간 극적으로 변화했음을 보여줍니다.

커뮤니티 반응: 익스플로잇 공개 4시간 만에 Project Zero와 Synacktiv에서 세부 분석 및 대응이 이루어졌습니다. 공개된 GitHub 저장소를 통해 상세 구현을 확인할 수 있습니다. 또한, 글에서는 회귀 테스트의 중요성과 오픈소스 프로젝트에서의 적용 사례(Linux, FreeBSD, OpenWRT, OpenSSH 등)에 대한 논의가 포함되어 있으며, Apple이 회귀 테스트를 제대로 수행하지 않았던 점을 지적합니다.

추가 논의: 글에서는 Apple의 100만 달러 현상금 지급 전략과 Zerodium 등 제로데이 브로커 시장 가격에 대한 언급도 포함되어 있습니다.