Trend Micro Apps Leak User Data, Removed from Mac App Store
연구원들이 트렌드 마이크로 측에서 개발한 앱들 다수가 사용자의 브라우징 기록 및 컴퓨터 정보를 수집한다는 것을 발견해 Mac 앱 스토어에서 삭제 되었습니다.
지난 금요일, 애플은 같은 이유로 스토어에서 인기 있는 보안앱인 Adware Doctor를 삭제했습니다.
삭제 된 앱들은 Dr. Antivirus, Dr. Cleaner, Dr. Unarchiver로 모두 Trend Micro, Incorporated. 개발자 계정에 등록 되어 있었습니다. 삭제 되기 전까지, 이 모든 앱들은 가장 많이 팔린 앱 순위에 랭크 되었으며, 수천 건의 긍정적 리뷰와 별점 4.6~4.9를 기록했었습니다.
앱 스토어 내 트렌드 마이크로 제품의 수상한 행동에 대한 첫 번째 공개 리포트는 2017년 말 공개 되었습니다.
한 사용자는 “그의 Mac이 Open Any Files:RAR Support에 완전히 점령당했다”고 밝히며, 마이크로소프트 워드나 엑셀 파일을 오픈하지 못하도록 했다고 밝혔습니다.
그는 이 앱이 스토어에 있는 트렌드마이크로 안티바이러스 앱을 홍보하고 있었던 것을 발견했습니다.
Malwarebytes for Mac의 개발자인 Thomas Reed는 비윤리적인 행동과 이 두 앱들 사이의 연결고리를 보여주는 글에서 아래와 같이 밝혔습니다.
“조사 초기 단계에서 발견한 바로는 Dr. Antivirus가 트렌드마이크로와 합법적으로 관련이 있는 것으로 보이며, Open Any Files 앱은 앱스토어의 Dr. Antivirus로의 링크로 이어지는 제휴 코드를 사용하고 있습니다. Dr. Antivirus앱은 쓰레기 앱으로 보입니다. 올해 발견 된 악성코드의 컴포넌트 23개를 던져준 결과, 이는 단 5개만을 탐지했습니다.”
보안 연구원인 Privacy_1st는 Dr. Cleaner와 Dr. Antivirus가 사파리, 크롬, 파이어폭스의 브라우징 히스토리와 시스템 정보 일부를 수집했다는 것을 보여주는 영상을 발표했습니다.
또한 iOS 개발자이자 9to5Mac의 작가인 Guilherme Rambo도 트렌드마이크로의 Dr. Unarchiver가 사용자 데이터를 노리고 있다는 것을 발견했습니다.
수집 된 정보들, 트렌드마이크로 서버로 보내져
Privacy_1st는 트렌드마이크로의 앱 3개를 살펴본 결과 사용자 정보를 추출하는 하드코딩 된 문자열을 발견했습니다.
이들은 기기에서 식별에 사용될 수 있는 브라우저 기록 및 데이터를 수집했습니다. 또한 OS의 시리얼 넘버 및 버전도 함께 수집 된 것으로 나타났습니다.
이 정보의 최종 목적지는 trendmicro.com 도메인이었습니다. Open Any Files 앱 또한 마찬가지였습니다.
앱들의 행동을 관찰한 결과, 연구원은 다른 코드를 포함한 JSON 파일을 받았다는 것을 발견했습니다. 이는 앱들이 데이터 추출을 위해 다른 곳으로부터 명령을 받는다는 것을 의미합니다.
Privacy_1st가 분석한 앱들은 시작될 떄 마다 데이터 추출 행위를 보여주지 않았습니다.
여러 앱에서 동일한 방식으로 데이터를 삭제 해, 모든 앱의 출처는 중국인 개발자
Privacy_1은 Dr. Antivirus, Dr. Cleaner, Dr. Unarchiver가 사용자 데이터를 외부 서버로 업로드 하기 위해 사용한 방식은 한 가지가 아니라고 밝혔습니다.
Adware Doctor와 Komros Adware Cleaner(개발자 동일), Open Any Files, Adblock Master는 동일한 기술을 사용해 사용자 정보를 추출했습니다.
위 앱들의 또 다른 공통점은, 트렌드마이크로와 중국 개발자와의 관계입니다.
이 앱들은 8월 중순 애플에 제보 되었으며, 현재는 Mac 앱스토어에서 삭제 된 상태입니다.
또한 개발자 ‘트렌드 마이크로’에 등록 된 또 다른 제품인 ‘App Uninstall’ 앱도 삭제 되었습니다.
이와 관련해 트렌드 마이크로는 성명서를 발표해 자사의 앱이 사용자의 데이터를 훔친다는 사실을 부인했습니다.
Dr, Cleaner, Dr, Cleaner Pro, Dr. Antivirus, Dr. Unarchiver, Dr. Battery, Duplicate Finder가 브라우저 스냅샷을 수집하는 것은 맞지만, 이는 각 제품의 EULA에 명시 되었다고 밝혔습니다.
또한 “이는 보안 목적의 일회성 데이터 수집입니다. (사용자가 애드웨어나 다른 위협을 겪었는지 판단해 제품 및 서비스 개선시키기 위함)”라고 밝혔습니다. 해당 데이터는 중국이 아니라 Amazon Web Service를 통해 미국의 서버로 업로드 된다고도 덧붙였습니다.
트렌드 마이크로는 의심스러운 앱들과의 연관성 및 자사의 앱들이 왜 스토어에서 삭제 되었는지는 설명하지 않았습니다.
출처 :
Mirai, Gafgyt IoT 봇넷, 기업 부문 노려 (0) | 2018.09.12 |
---|---|
새로운 Hakai 봇넷, D-Link, huawei 및 realtek 라우터를 타겟으로 해 (0) | 2018.09.11 |
새로운 Chainshot 악성코드, 512-Bit RSA키 크래킹 해 발견 돼 (0) | 2018.09.10 |
시스코, 제품에 존재하는 취약점 32개를 수정하는 보안 패치 발표 (0) | 2018.09.07 |
윈도우 작업 스케쥴러 제로데이를 악용하는 악성코드 발견 돼 (0) | 2018.09.06 |
댓글 영역