새로운 스마트폰의 개봉은 기술 분야의 새로운 즐거움 중 하나입니다. 셀로판지를 제거하고 상자의 상단을 밀고 깨끗한 장치의 전원을 켭니다. 전화기가 새로운 운영 체제를 준비하는 동안 부팅 로고가 화려한 영광으로 회전합니다.
그러나 그것이 아주 삐걱 거리는 소리가 나지 않는다면 어떻게 될까요? 그 밝은 외관 아래에는 더 사악한 것이 도사리고 있을지도 모릅니다. 결국 새 Android 휴대전화를 신뢰할 수 없다는 증거가 점점 늘어나고 있습니다.
소비자 가전 공급망
현대의 제조 공급망은 복잡합니다. 세계화의 결과 원자재에서 완제품에 이르기까지 모든 것이 전 세계적으로 시장이 형성되고 있으며 가전제품도 다르지 않습니다. 최대 전자 제품 생산국 중 하나는 중국으로, 1980년대 경제가 성장하기 시작한 이래 많은 서구 기업이 생산을 아웃소싱해 왔습니다.
중국은 또한 현대 전자 제품의 필수 재료인 실리콘의 최대 생산국이기도 합니다. 이 나라는 전 세계에서 사용되는 대부분의 소비자 전자 제품의 제조를 책임지고 있습니다. 중국의 대미 수입은 2017년에만 1,890억 달러에 달했습니다. 이러한 경이적인 성장과 시장 지배력으로 인해 최근 미국과 중국 간의 무역 전쟁이 발생했으며 양국은 2018년 내내 서로의 제품에 무거운 관세를 부과했습니다.
중국이 제조 공급망의 많은 부분을 통제하지만 재료 및 조립 부품은 전 세계적으로 조달됩니다. 이러한 이유로 Apple iDevice에는 뒷면에 "Designed in California. Assembled in China"가 새겨져 있습니다. 경제학자 Leonard Read는 1958년 자신의 에세이 "I, Pencil"에서 단순해 보이는 일회용품인 연필 한 개를 생산하는 데 필요한 정교한 과정을 자세히 설명했습니다.
광범위하고 복잡한 전자 제품 공급망은 정확한 추적이 거의 불가능한 작업임을 의미합니다.
Android 스마트폰 제조
Apple의 월가든 접근 방식은 제조 프로세스를 엄격하게 제어한다는 것을 의미합니다. 이 회사는 과거에 공장 직원의 열악하고 안전하지 않은 조건으로 비난을 받았지만 공정을 엄격하게 통제하고 있습니다.
Android 기기의 경우에도 마찬가지입니다.
Google은 모바일 운영 체제에 수동 접근 방식을 취합니다. Android는 오픈 소스이기 때문에 제조업체는 한 푼도 지불하지 않고 원하는 모든 작업을 수행할 수 있습니다. 이 비즈니스 모델은 Android를 주류로 이끌고 현재 시장을 지배하는 데 기여한 것으로 인정됩니다.
그러나 이 접근 방식에는 몇 가지 단점이 있습니다. 단편화, 느리거나 때로는 존재하지 않는 업데이트, 응답하지 않거나 스팸으로 가득한 런처 등을 들 수 있습니다. 각 제조업체와 이동통신사는 각 장치의 하드웨어와 소프트웨어를 맞춤 설계할 수 있습니다. 결과적으로 현재 시장에는 다양한 Android 기기가 있습니다.
대부분의 제조 공정이 중국에서 이루어지기 때문에(이 때문에 중국에서 직접 전화를 구매하는 것이 인기를 얻고 있음) 공장에서는 종종 여러 제조업체를 위해 스마트폰을 조립합니다. 브랜딩만 변경한 동일한 생산 라인에서 실행할 수도 있습니다. 이로 인해 많은 기기에서 소프트웨어, 구성 요소, 때로는 전체 완제품까지 공유하게 되었습니다.
새 스마트폰을 믿을 수 없습니다
Android의 개방형 특성은 Apple의 신중하게 선별된 기기가 하지 않는 방식으로 맬웨어에 적합합니다. Google은 지난 몇 년 동안 플랫폼의 보안을 개선하기 위한 조치를 취했지만 제조업체의 잘못된 관행과 복잡한 공급망은 악의적인 공격자에게 기회를 제공합니다.
RottenSys 악성코드
2018년 초 Xiaomi Redmi의 Wi-Fi 서비스는 CPR(Check Point Research)의 연구원들의 눈길을 사로잡았습니다. 약간의 조사 후에 그들은 Wi-Fi 서비스를 전혀 제공하지 않는다는 것을 발견했습니다. 대신 Wi-Fi 서비스와 관련이 없는 민감한 Android 권한의 긴 목록을 요청했습니다.
가장 많은 의미 부여 권한 중 하나는 DOWNLOAD_WITHOUT_NOTIFICATION이었습니다. 앱은 휴대전화의 전원이 처음 켜졌을 때 약간의 지연이 있은 후 명령 및 제어(C&C) 서버에서 악성 소프트웨어를 다운로드하기 위해 이 권한을 사용하는 것으로 나타났습니다. RottenSys로 알려진 멀웨어는 MarsDaemon이라는 오픈 소스 프레임워크를 활용하여 프로세스를 계속 유지함으로써 운영 체제에서 숨길 수 있었습니다.
C&C 서버는 허위 Wi-Fi 서비스에 의해 전화기에 자동으로 설치된 악성 광고 네트워크용 파일을 제공했습니다. CPR은 공격자가 10일 동안 작업할 때마다 최대 115,000달러를 벌 수 있을 것으로 추정했습니다. 연구원들은 또한 공격자가 봇넷에 감염된 장치를 모집할 준비를 하고 있다는 증거를 발견했습니다(봇넷이란?).
CPR의 조사에 따르면 전자 도매업체인 Tian Pai는 감염된 기기의 거의 절반을 처리했습니다. Tian Pai가 가담했다고 제안하지는 않았지만 맬웨어가 공급망의 특정 지점에 설치되었을 가능성이 있다는 결론을 내렸습니다.
맬웨어는 2016년 9월에 확산되기 시작했으며 2018년 3월까지 전 세계적으로 거의 500만 개 장치를 감염시켰습니다. 다행히 RottenSys를 제거하는 데는 몇 초 밖에 걸리지 않습니다. 새 Android 기기가 애드웨어로 가득 차 있는 것 같으면 설정으로 이동하여 CPR 보고서에 나열된 앱을 제거하십시오. 앱을 제거하면 RottenSys도 함께 사라집니다.
상하이 AdUps 기술
우리의 스마트폰은 많은 개인 정보와 민감한 정보를 생성하고 저장합니다. 최신 스마트폰에서 기대할 수 있는 마지막 기능은 모든 데이터를 수집하여 72시간마다 중국 서버로 보내는 것입니다.
그러나 이는 보안 회사인 Kryptowire의 연구원들이 2016년에 발견한 것입니다. 영향을 받는 펌웨어는 인기 있는 BLU R1 HD를 포함하여 미국에서 판매되는 여러 Android 장치에서 확인되었습니다. Android 권한을 우회한 결과 모든 데이터에 대한 무제한 액세스 권한이 부여되었습니다. 보고서에 따르면 여기에는 다음이 포함됩니다.
<블록 인용>"...문자 메시지의 전체 본문, 연락처 목록, 전체 전화번호가 포함된 통화 기록, IMSI(International Mobile Subscriber Identity) 및 IMEI(International Mobile Equipment Identity)를 포함한 고유한 장치 식별자를 포함한 사용자 및 장치 정보."
또한 원격으로 장치를 재프로그래밍하고 앱을 설치하며 정밀 위치 데이터를 수집할 수 있었습니다. Kryptowire는 의심스러운 활동을 중국 회사인 Shanghai AdUps Technology로 추적했습니다. 회사는 데이터 수집이 실수였으며 펌웨어는 업데이트를 제공하는 데만 사용됐다고 밝혔습니다. 그러나 그들은 미국 정부, Amazon, BLU, Google과 협력하여 스파이웨어를 제거했습니다.
1년 후, 연구원들은 Shanghai AdUps가 여전히 Android 기기에서 스파이웨어를 사용하고 있음을 발견했습니다. 데이터 사이펀의 대부분은 제거되지 않고 숨겨져 있었습니다. 미국 장치의 일부 기능이 꺼져 있었지만 여전히 중국 회사에 데이터를 다시 보냈습니다. Kryptowire는 AdUps가 설치된 애플리케이션 목록, 전화번호, 기기 식별자, 기지국 정보를 계속 수집하고 있다고 언급했습니다.
미국과 중국의 관계를 고려할 때, Kryptowire가 미국 국방고등연구계획국(DARPA)과 국토안보부(DHS)로부터 자금을 지원받고 있다는 점은 주목할 가치가 있습니다.
원하는 대로 만드십시오.
정말 믿을 수 있는 사람은?
사전 설치된 맬웨어와 내장된 보안 결함에 대한 많은 책임은 중국에 있습니다. 세계 최대의 감시 국가를 운영하는 정치가 때때로 그들의 제조 산업에 스며들 수 있는 것이 사실입니다. 그러나 귀인은 어렵고 책임자의 이름을 밝히고 부끄럽게 만드는 보고서조차 대개는 추측에 불과합니다.
그렇다고 중국이 완전히 물러나야 한다는 말은 아니다. 화웨이에 대한 최근의 비난은 프라이버시를 중시한다면 화웨이의 휴대폰을 사지 말아야 한다는 것을 의미합니다. 화웨이가 보안 스캔들에 휘말린 것은 이번이 처음이 아닙니다.
현재의 맬웨어 스트림은 지금까지 Android 기기로 제한되어 있지만 영원히 그런 식으로 유지된다는 것은 아닙니다. Apple의 감시 아래서도 맬웨어의 위험은 불가능하기보다는 불가능합니다. 이 모든 불확실성으로 인해 패배에 손을 얹고 싶게 만든다면 스마트폰을 버리고 대신 멍청한 전화기를 사는 것을 고려할 때일 수 있습니다.