상세 컨텐츠

본문 제목

[해외보안동향] 샤오미(xiaomi) 서버에 제로데이 취약점이 존재한다고 폭로한 대만 보안연구원

국내외 보안동향

by 알약(Alyac) 2014. 11. 6. 21:57

본문

대만의 보안 연구원이 샤오미(xiaomi) 서버에 제로데이 취약점이 존재한다고 폭로


샤오미는 2010년 4월에 설립된 휴대폰제작사로, 설립 이후 꾸준히 성장하여 올해 3분기에는 레노보와 LG를 뛰어넘어 세계 휴대폰시장 3위를 차지했습니다. 

 

하지만 최근, 대만의 한 보안연구원이 샤오미 서버에 제로데이 취약점이 존재하며, 해당 취약점을 이용하면 몇백만명의 사용자 정보를 빼낼 수 있다고 폭로하였습니다.



이 보안연구원은 해당 취약점에 대해 Groun Zero Sumit(G0s) 2014 g)s.org 컨퍼런스에서 <Privacy-Alert : Exposing china-based XIAOMI Mobiles>라는 주제로 발표를 진행할 예정이었습니다.



컨퍼런스에서 취약점 내용을 설명하는 동시에, 샤오미 휴대폰이 어떻게 기기정보와 고객 정보를 전송하는 지 시연할 예정이며, 정보가 유출된 서버로그 및 유출된 사용자 정보들을 공개할 것으로 예상하였습니다. 

하지만 Ground Zero Summit  주최측은 해당 주제가 공개된다면 큰 파장을 일으킬 것으로 예상하여 이 강연에 대하여 취소 조치를 내렸다고 합니다.


샤오미 기기들은 샤오미 계정을 통하여 샤오미 클라우드, 샤오미 통화, 샤오미 마켓, MIUI게시판 등의 서비스를 이용하는데, 이때 샤오미 계정에는 사용자의 전화번호, 이메일, 금융정보 등이 포함되어 있습니다. 

 

이 보안연구원은 샤오미 DB에서 제로데이 취약점을 이용하여 DB정보를 유출할 수 있다는 것을 증명하기 위하여 The Hacker News에 몇천개의 사용자 정보를 보내왔습니다. 


아래의 이미지는 유출된 것으로 의심되는 샤오미 사용자들의 데이터입니다.




인터넷 보안 위협론 : 대만에서 샤오미의 판매 금지


얼마 전에 샤오미 휴대폰이 사용자 몰래 북경에 있는 서버로 사용자의 개인정보를 전달하는 것이 밝혀진 적이 있었습니다. 이에 따라 대만정부는, 샤오미를 대상으로 “네트워크 보안 위협” 조사를 받게 하였고, 논쟁이 심해짐에 따라 대만 정보는 샤오미의 판매를 금지시켰습니다. 

 

이런 개인정보 논쟁은 대만 뿐만 아니라 인도, 싱가폴 등 많은 국가들 역시 매우 심각한게 생각하고 있습니다. The Indian Air Force, IAF는 대원들에게 신분 및 각종 기밀정보를 중국에게 유출시키지 않기 위하여 샤오미 휴대폰 사용을 제제하였으며, 이런 몇 차례의 개인정보 논쟁 후에, 샤오미는 인디아에 데이터 센터를 구축하기로 합의하였습니다. 


하지만 이러한 주장속에 샤오미 측은 말도 안되는 소리라며, 현재 법적 조치를 준비중에 있다고 아래와 같이 입장을 밝혔습니다.


We have verified that the zero-day data breach allegation made by security researcher Chen Huang and the Ground Zero Summit organizing committee is a hoax. The zero-day vulnerability reported by the cyber security researcher, Chen Huang, is a deliberate falsehood, and Xiaomi is taking the necessary legal action against the parties involved. To date, throughout Xiaomi's history, there has only been one incident in which a two-year-old user account file was leaked in May 2014. After conducting a comprehensive investigation, we concluded that file contained information from user accounts registered before August 2012 in an old version of the Xiaomi user forum website. That information became obsolete when, in September 2012, we launched the Xiaomi Account integrated system. In response to the incident in May 2014, we immediately requested users to change their passwords. We also announced the incident publicly via social media and to our user forums on May 14, 2014. Chen Huang has recently threatened to expose data from the old user account file during a session at the upcoming Ground Zero Summit 2014, falsely claiming it to be data compromised through an existing vulnerability. This is a grave accusation, as we take our users' privacy very seriously, and we will seek legal action against the involved parties. 



관련 내용 출처 : 

http://thehackernews.com/2014/10/xiaomi-data-breach-hacker.html#sthash.NIajClbu.dpuf


관련글 더보기

댓글 영역