MantisTek GK2 키보드에 내장 된 키로거 발견 돼 – 데이터는 중국에 보내져

Built-in Keylogger Found in MantisTek GK2 Keyboards—Sends Data to China

약 50유로에 판매 되는 인기있는 104키 Mantistek GK2 기계식 게이밍 키보드가 사용자들이 입력하는 모든 것을 은밀히 기록해 알리바바 그룹이 관리하는 서버로 모두 보내고 있는 것으로 나타났습니다.

Mantistek GK2 기계식 게이밍 키보드에 키로거가 내장 되었다는 사실은 온라인 포럼에서 몇몇의 사용자들이 이 문제를 공유하기 시작해 알려졌습니다.

Tom’s Hardware에 따르면, MantisTek 키보드는 ‘Cloud Driver’ 소프트웨어를 사용하는데, 이는 분석 정보를 모으는 것으로 추측 되었지만 중요한 정보를 알리바바와 관계 있는 서버로 보내고 있었다는 것이 발견 되었습니다.

더욱 면밀한 분석 결과, Mantistek 키보드는 모든 기능을 갖춘 키로거는 포함하고 있지 않았습니다.

다만 키가 눌려진 횟수를 캡쳐해 이 데이터를 온라인 서버로 전송했습니다.

사용자들은 이 키보드가 어떻게 순수 텍스트 형태의 키입력들을 모두 수집해 중국에 위치한 서버 (IP:47.90.52.88)로 업로드 되는지에 대한 스크린샷도 공유하였습니다.

하지만, 악의적인 의도가 없다고 할지라도 사용자의 동의 없이 키 입력을 캡쳐해 업로드 하는 것은 기밀 정보를 유출시켜 신뢰를 무너뜨리고 시스템의 보안을 위험에 빠트리는 일일 것입니다.

알리바바 그룹은 Google과 Amazon과 같이 이미 클라우드 서비스를 판매하고 있기 때문에, 수집 된 정보들이 알리바바에 전송 되고 있다는 것이 아니라, 해당 클라우드 서비스를 사용하고 있는

누군가에게 보내지고 있을 수 있습니다.

웹 브라우저에서 문제의 IP 주소를 오픈하면 “클라우드 마우스 플랫폼 백그라운드 관리 시스템”이라 번역 되는 중국어로 된 로그인 페이지가 나옵니다. 이는 Shenzhen Cytec Technology Co., Ltd에서 관리하고 있습니다.

또한 MantisTek 키보드의 소프트웨어는 수집한 데이터를 해당 IP 내의 경로 두 곳으로 보냅니다:

/cms/json/putkeyusedata.php

/cms/json/putuserevent.php

이 키보드가 사용자의 키입력을 알리바바 서버로 보내지 못하도록 하는 가장 좋은 방법은, 제조사에서 해명을 발표하기 전 까지 키보드의 사용을 멈추는 것입니다.

하지만 키보드를 어쩔 수 없이 사용해야 하는 상황이지만 키 입력을 더 이상 알리바바 서버로 보내고 싶지 않을 경우, MantisTek Cloud Server 소프트웨어가 백그라운드에서 실행 되지 못하게 하고 CMS.exe 실행 파일을 방화벽에서 차단하면 됩니다.

CMS.exe 실행 파일을 차단하기 위해서는, "Windows Defender Firewall With Advanced Security"에서 MantisTek Cloud Driver에 대한 새로운 방화벽 룰을 추가하면 됩니다.

출처 :

https://thehackernews.com/2017/11/mantistek-keyboard- keylogger.html