샤오미 Mi4, 스파이 애드웨어와 포크된 안드로이드 OS 탑재 주장, 블루박스는 이를 반박

Table Of Contents

• 블루박스에 따르면, 샤오미 Mi4 LTE 안드로이드 스마트폰은 사전 설치된 스파이웨어/애드웨어와 혼합된 안드로이드 OS를 탑재하고 있어 큰 보안 위험이 있다고 주장하며, 샤오미는 이를 강력히 반박함
• 기본 구성에서 발견된 악성 소프트웨어로 감지된 앱 - Yt 서비스
• PhoneGuardService
• Masterkey, FakeID, Towelroot (리눅스 퓨텍스)에 취약한 포크된 OS 버전

블루박스에 따르면, 샤오미 Mi4 LTE 안드로이드 스마트폰은 사전 설치된 스파이웨어/애드웨어와 혼합된 안드로이드 OS를 탑재하고 있어 큰 보안 위험이 있다고 주장하며, 샤오미는 이를 강력히 반박함

#업데이트: 샤오미는 우리에게 그들의 입장을 전달하며 블루박스가 테스트한 샘플은 공식 샤오미 채널을 통해 조달되지 않았으며, 샤오미의 통보 없이 제3자 공급업체에 의해 변조되었을 수 있다고 알렸다. 블루박스는 원래 게시물에 대한 업데이트를 통해 동일한 내용을 확인했다.

두 회사의 성명서는 기사 끝에 첨부되어 있다.

중국의 기술 대기업 샤오미는 세계적으로 스마트폰 판매량이 꾸준히 증가하여 현재는 3위의 주요 스마트폰 제조업체가 되었다. 샤오미의 스마트폰은 인도, 중국 등 여러 나라에서 매우 인기가 높다. 최신 모델인 Mi4 LTE 스마트폰은 인도의 온라인 소매업체 Flipkart에서 플래시 세일로 단 15초 만에 25,000대 이상 판매되는 등 높은 품질의 판매를 기록하고 있다.

하지만 샤오미 Mi4 LTE 스마트폰에 대한 모든 것이 순조롭지는 않다며, 모바일 데이터 보안 회사 블루박스의 보안 연구원들이 지적했다.

블루박스 연구원들은 샤오미 Mi4 LTE에서 두 가지 매우 중요한 보안 문제를 발견했다. 그 중 하나는 Mi4에 사전 설치된 앱으로, 블루박스는 이 앱들이 악성 소프트웨어로 표시되고 있다고 주장한다. 다른 문제는 Mi4가 포크된 안드로이드 운영 체제를 사용하고 있어 사용자에게 큰 보안 위험이 될 수 있다는 것이다.

기본 구성에서 발견된 악성 소프트웨어로 감지된 앱

샤오미 Mi4의 보안 문제를 조사하기 위해 블루박스 연구원들은 중국에서 Mi4를 직접 주문했다. 직접 조사 결과, 그들이 구매한 장치에는 대부분이 악성 소프트웨어로 표시된 위험한 앱 세트가 사전 설치되어 있었다.

Yt 서비스

Yt 서비스는 블루박스 연구원들이 특히 위험하다고 판단한 앱 중 하나이다. Yt 서비스는 DarthPusher라는 애드웨어 서비스를 통합하는 목적을 가지고 있으며, 모든 샤오미 Mi4 LTE 스마트폰에 사전 설치되어 있다. 광고를 푸시하는 데 사용되는 이 무해한 애드웨어는 구글이 개발한 것처럼 잘못된 인상을 준다. 블루박스는 Yt 서비스 개발자 패키지가 “com.google.hfapservice.”로 명명되어 있어 구글이 개발한 합법적인 앱이라는 인상을 준다고 말했다.

“다시 말해, 사용자를 속여 구글이 검증한 ‘안전한’ 앱이라고 믿게 만든다”고 블루박스는 목요일 블로그 게시물에서 말했다.

PhoneGuardService

악성 소프트웨어로 표시된 또 다른 앱인 PhoneGuardService는 사용자들을 속일 수 있는 이름을 가지고 있다. 이 앱은 com “egame.tonyCore.feicheng.”로 패키징되어 있다. PhoneGuardService 외에도 블루박스는 SMSreg라는 또 다른 앱과 함께 총 여섯 개의 앱이 샤오미 Mi4 LTE에 사전 설치되어 있으며, 이 앱들은 스파이웨어 및 애드웨어와 유사한 행동을 보인다고 밝혔다.

Masterkey, FakeID, Towelroot (리눅스 퓨텍스)에 취약한 포크된 OS 버전

블루박스는 Mi4에 탑재된 안드로이드 버전이 안드로이드 킷캣, 젤리빈 및 이전 안드로이드 버전의 혼합 형태라고 밝혔다. 블루박스 연구원들은 그들이 사용한 모바일 보안 평가 도구 Trustable을 통해 Mi4 LTE가 최근 발견된 여러 취약점, 즉 Masterkey, FakeID, Towelroot (리눅스 퓨텍스)에 취약하다는 것을 발견했다고 말했다. 블루박스 연구원들은 Mi4가 Heartbleed를 제외한 모든 주요 취약점에 취약하다고 밝혔다.

“장치는 우리가 스캔하는 모든 취약점에 취약했으며 (Heartbleed는 4.1.1에서만 취약했음), 또한 루팅되어 있으며 연결된 컴퓨터와 대화하기 위한 적절한 프롬프트 없이 USB 디버깅 모드가 활성화되어 있었다”고 그들의 블로그 게시물에서 말했다.

연구원들은 “su” 애플리케이션이 장치에서 사용되기 위해 보안 제공자가 필요하다고 밝혔지만(com.lbe.security.miui.su), “su”의 사용은 어떤 면에서 제한되지만, 이는 안드로이드의 생산 릴리스 빌드에서는 존재해서는 안 되며, 이는 앱의 게이트웨이가 될 수 있고 사이버 범죄자들이 루트를 활용하여 장치를 완전히 제어할 수 있게 할 수 있다고 말했다.

안드로이드의 포크된 예를 보여주기 위해, 그들은 USB 디버깅 아이콘이 젤리빈(안드로이드 4.1-4.3.1)에서 가져온 것이며, 그들이 발견한 다른 취약점은 이전 버전의 안드로이드에 특정되어 있으며 킷캣에서 수정되었다고 말했다.

블루박스는 그들이 테스트한 장치가 실험실 프로토타입인지 소비자 출시를 위한 것인지 알지 못한다고 분명히 밝혔다.

상충되는 빌드 속성 [ro.build.version.release]: [4.4.4] 이는 안드로이드 킷캣 및 API 레벨 19에 해당함 [ro.build.version.sdk]: [17] API 레벨은 안드로이드 젤리빈 4.2에 해당함 [ro.build.tags]: [test-keys] 이는 일반적으로 소프트웨어의 테스트 또는 디버그 빌드에서 표시되지만, 장치 지문에서의 태그와 상충됨 [ro.build.fingerprint]: [Xiaomi/cancro/cancro:4.4.4/KTU84P/KXDCNBH25.0:user/release-keys]

따라서 샤오미 Mi4 LTE를 구매했거나 이미 구매한 경우, 블루박스가 발표한 이 사실을 유념하고 문제를 완화하기 위한 조치를 취하시기 바랍니다. 이러한 위험을 방지하기 위해 직원 및 기업은 장치에서 개인 및 기업 데이터를 어떻게 보호할지에 대해 신중해야 합니다.

가능한 해결책 중 하나는 장치를 완전히 루팅하고 원하는 OS를 설치하는 것입니다.

샤오미의 커뮤니케이션 매니저인 케일린 홍이 이 기사에 대해 우리에게 연락을 주었다. 그녀가 한 말은 다음과 같다.

2015년 3월 5일, 블루박스는 그들의 웹사이트에 중국에서 구매한 Mi 4가 악성 소프트웨어가 사전 설치되어 있다고 주장하는 초기 보고서를 발표했다. 다음은 면밀한 조사 후 우리의 응답이다: 요약: - 샤오미와 블루박스는 블루박스가 획득한 장치가 위조 제품임을 확인했다. - 블루박스의 보고된 발견은 따라서 부정확하며 Mi 전화기를 대표하지 않는다. - 우리는 항상 사용자에게 Mi 전화를 공식 채널(미닷컴 및 모바일 운영자 및 공인 소매업체와 같은 선택된 파트너)을 통해 구매할 것을 권장한다. - 전 세계에서 판매되는 모든 Mi 전화기는 완전히 안드로이드 호환성 검증을 받았다. 세부 사항: 우리는 이 주제에 대한 조사를 마쳤으며, 블루박스가 획득한 장치는 100% 위조 제품으로 중국의 비공식 채널을 통해 구매된 것으로 입증되었다. 따라서 이는 원래 샤오미 제품이 아니며, 블루박스가 업데이트된 블로그 게시물에서도 확인했듯이 공식 샤오미 소프트웨어를 실행하고 있지 않다. 1) 하드웨어: 샤오미 하드웨어 전문가들이 블루박스가 제공한 내부 장치 사진을 살펴보고 물리적 하드웨어가 원래 Mi 4와 현저히 다르다고 확인했다. 2) IMEI 번호: 샤오미 애프터세일즈 팀은 블루박스의 장치 IMEI가 이전에 중국의 다른 위조 샤오미 장치에서 사용된 클론 IMEI 번호라고 확인했다. 3) 소프트웨어: 샤오미 MIUI 팀은 블루박스의 장치에 설치된 소프트웨어가 공식 샤오미 MIUI 빌드가 아니며, 우리의 장치는 루팅되지 않으며 사전 설치된 악성 소프트웨어가 없다고 확인했다. 이 장치는 원래 샤오미 제품이 아니며, 공식 샤오미 MIUI 소프트웨어 빌드를 실행하고 있지 않기 때문에 블루박스의 발견은 완전히 부정확하며 샤오미 장치를 대표하지 않는다. 우리는 블루박스가 완전한 조사 없이 너무 빨리 결론을 내렸다고 믿으며 (예를 들어, 그들은 언어 장벽으로 인해 처음에 우리가 발표한 하드웨어 검증 프로세스를 올바르게 따르지 않았다) 그들의 샤오미와의 연락 시도가 불충분했다고 생각한다. 중국의 모바일 전화에 대한 대규모 평행 거리 시장이 존재하기 때문에, 외관상 거의 구별할 수 없는 위조 제품이 존재한다. 이는 모든 브랜드에 걸쳐 발생하며, 중국에서 판매되는 중국 및 외국 스마트폰 회사 모두에 영향을 미친다. 게다가 “기업가적인” 소매업체는 이러한 장치에 악성 소프트웨어와 애드웨어를 추가할 수 있으며, CPU-Z 및 Antutu와 같은 인기 있는 벤치마크 소프트웨어의 수정된 복사본을 사전 설치하여 하드웨어가 합법적임을 보여주는 “테스트”를 실행할 수도 있다. 샤오미는 위조 장치 제조업체나 소프트웨어를 변조하는 사람들을 단속하기 위해 필요한 모든 조치를 취하고 있으며, 중국의 모든 수준의 법 집행 기관의 지원을 받고 있다. 우리는 지금까지 중국 외부에서 위조 Mi 전화기에 대한 의미 있는 보고를 받지 않았다. 그러나 우리의 국제 사용자에게 안심을 주기 위해 Mi 하드웨어의 진위를 인증하는 우리의 검증 앱의 영어 버전이 개발 중이다. 모든 다른 소비자 전자 브랜드와 마찬가지로, 우리는 항상 공인 채널을 통해 Mi 전화를 구매할 것을 권장한다. 샤오미는 미닷컴과 모바일 운영자 및 선택된 공인 소매업체(인도의 Flipkart 및 향후 발표될 기타 업체)를 통해서만 판매한다. 또한 블루박스가 주장한 것과는 달리, MIUI는 진정한 안드로이드로, MIUI는 안드로이드 CDD, 구글의 호환 안드로이드 장치에 대한 정의를 정확히 따르며, 모든 안드로이드 CTS 테스트를 통과한다. 이는 특정 장치가 완전히 안드로이드 호환성을 갖추었는지 확인하는 데 사용되는 산업 프로세스이다. 중국 및 국제 시장에서 판매되는 모든 샤오미 장치는 완전히 안드로이드 호환성을 갖추고 있다. – 샤오미 업데이트: 2015년 3월 8일 앤드류 블레이치, 수석 보안 분석가 심층 테스트 후, 샤오미는 이 장치가 위조품이며 매우 잘 만들어진 것이라고 밝혔다. 처음에는 그들의 검증 앱을 무력화하기도 했다. 이 결론은 다양한 각도와 장치의 여러 영역에서 약 12장의 사진을 보내고 샤오미 팀에서 검토한 후 도출되었다. 그들은 또한 블루박스 연구소가 원래 발견 보고서에서 언급한 여러 다른 이상 현상을 비교했다. 이 위조품이 진짜처럼 보이고 행동하기 위해 얼마나 많은 세부 사항을 갖추었는지는 상당히 놀라웠다. 전원이 꺼져 있을 때 장치의 진위를 확인하기 위해 사람들이 일반적으로 사용하는 구성 요소의 내부 구조, 배터리 및 라벨이 동일하다[6]. 샤오미가 이러한 상황을 감지하기 위해 출시한 Mi 식별 앱(안티페이크)조차도 이 장치가 진짜라고 알려주었다. 이 장치의 진위를 확인하기 위해 필요한 노력의 양은 일반 소비자가 자신의 구매가 진짜인지 확인하기 위해 기대할 수 있는 것보다 훨씬 더 많았다. 이 장치에 로드된 MIUI ROM의 버전은 안티페이크 앱의 인증 검사를 우회하도록 수정되었다. 블루박스 연구소가 원래 발견에서 언급한 것처럼, sdcard에는 .apk라는 숨겨진 디렉토리가 있다. 이 숨겨진 디렉토리 내에는 CPU-Z와 안티페이크 앱의 버전과 같은 일부 APK가 존재한다. 사용자가 이러한 패키지 중 하나에 해당하는 앱을 전화에 설치하려고 하면, sdcard의 앱이 사용자가 설치하려는 실제 앱을 대체한다. 이것은 ROM이 검증 앱을 우회하는 방법 중 하나이다. 이 과정을 우회하려면 sdcard에서 원하는 앱의 APK 버전을 제거한 다음 실제 버전으로 교체하고 다시 원하는 앱을 설치하면 된다. 우리는 최신 안티페이크 앱을 설치하여 이를 확인했다. 올바른 버전의 안티페이크 앱을 장치에 설치한 후, 우리는 장치의 유효성을 검증할 수 있었다. 이제 장치는 정품이 아니라고 보고되며, 이는 샤오미의 발견과 일치한다. 블루박스 연구소는 샤오미의 보안 팀과 대화하고 있다. 보안 팀은 우리가 MIUI ROM의 보안 상태에 대한 원래 공개에서 요청한 정보를 제공하는 데 매우 훌륭했다. 그 팀은 장치에서 Trustable을 실행했으며, 블루박스가 비표준 MIUI ROM에서 발견한 것보다 훨씬 더 나은 점수인 6.7을 받았다. 또한 우리가 ROM에서 발견한 많은 불일치는 공장에서 출하되는 Mi ROM에서 해결된 것으로 보인다. 우리는 샤오미의 보안 팀의 검증을 바탕으로 진행하고 있으며, 블루박스 연구소는 자체 테스트를 수행하기 위해 추가 장치가 도착하기를 기다리고 있다. 이 노력에서 배운 교훈은 책임 있는 공개, 공급망 및 인증 도구에 관한 것이다. 첫째, 책임 있는 공개를 받는 회사는 이러한 경고를 수신하기 위해 설정한 계정을 확인하고 연구원들과 적절하게 협력해야 한다. 샤오미는 이제 계정을 더 면밀히 모니터링하기 위한 필요한 조치를 취했다고 보장했다. 샤오미 보안 팀은 또한 우리가 발견을 검증하기 위해 요청한 정보에 대한 접근을 제공하는 데 매우 훌륭했다. 둘째, 공급망이 문제로 지적된다. 장치가 위조품인지 여부와 관계없이 소비자들은 데이터에 위험을 초래하는 손상된 ROM이 설치된 장치를 구매하고 있다. 마지막으로, 장치의 진위를 확인하는 데 사용되는 인증 도구는 크게 개선되어야 하며, 공급업체는 판매된 각 장치에 대해 수십 장의 사진을 수신하고 처리할 시간이 없거나 소프트웨어의 속임수를 우회할 기술 전문 지식이 없기 때문이다.

전체 기사를 읽으려면 악성 소프트웨어가 포함된 ‘샤오미’ Mi4 LTE 테스트 결과 위조품으로 판명됨 를 참조하십시오.