포스팅 내용

국내외 보안동향

[해외보안동향] Xiaomi Mi 4 휴대폰에 악성코드 선 탑재 및 커스텀 롬 탑재 의혹

Xiaomi Mi 4 휴대폰에 악성코드 선 탑재 및 커스텀 롬 탑재 의혹

Xiaomi Mi 4 Smartphone Pre-loaded with Malware and Custom Android ROM



Xiaomi는 '중국의 애플'로 불리며, 저렴한 가격과 가격대비 높은 성능으로 큰 인기를 끌고 있습니다. 다른 Xiaomi 시리즈와 비교하였을 때 Mi 4 LTE는 더 많은 사용자를 끌어 모았으며, 인도에서는 25,000개의 Xiaomi 휴대폰이 15초 안에 매진되는 상황도 벌어질 만큼 인기있는 시리즈입니다.


이미지 출처 : http://www.xiaomiworld.com/xiaomi-mi4.html


최근, 미국의 보안회사인 Bluebox가 Xiaomi Mi 4 LTE에는 악성앱이 선 탑재되어 있으며, 여러 보안취약점을 가지고 있다고 주장하였습니다.


▶ Bluebox 측 주장

3월 5일 Bluebox 연구원 Andrew Blaich는 Xiaomi 휴대폰 테스트를 하는 과정 중, Xiaomi의 새로운 제품인 Mi 4 휴대폰에서 두 가지 보안 취약점을 확인했다고 발표했습니다.
     
1. 악성앱의 선탑재
2. 인증받지 않은 안드로이드 운영체제를 사용하여 잠재적 위험 내포


악성앱의 선 탑재

보안 연구원은 Mi 4 LTE 휴대폰에 대하여 악성코드 스캔을 실시해본 결과, 총 6개의 악성의심 앱이 선 탑재되어 있는 것을 확인하였습니다. 이 앱들은 악성앱, 스파이 앱 혹은 애드웨어 앱이었습니다. 그 중, Yt Service앱은 DarthPusher라고 불리는 애드웨어를 포함하고 있습니다. 또한 패키지 이름을 com.google.hfapservice로 하여 사용자가 정상적인 google 앱으로 인식할 우려가 있습니다.
 

 PhoneGuardSerbice

(com.egame.tonyCore.fercheng)

 안티바이러스 솔루션에서 트로이목마로 탐지됩니다

 공격자가 사용자 휴대폰을 하이재킹 할 수 있습니다.

 SMSreg

 안티바이러스에서 위험 소프트웨어로 분류됩니다.

 Appstats

 리스크웨어인 org.zxl.appstats로 분류됩니다.



커스텀 버전의 Android ROM

시장에는 호환 가능한 Android ROM과 호환 불가능한 Android ROM이 존재합니다. 호환 가능한 Android ROM은 AOSP(Android Open Source Project)를 기반으로 CDD(Android Compatibility Definition Document)를 준수하고 있으며, CTS(Android Compatibility Test Suite)를 통과하였습니다. 호환 불가능한 ROM 역시 AOSP에서 빌드되었으나, 자신들만의 고유 시스템에서 실행되도록 만들어졌습니다. 

Mi 4 LTE에 탑재된 안드로이드 버전은 킷캣, 젤리빈 심지어 더 이전의 안드로이드 버전이 혼합되어 있습니다. Bluebox 연구원은 Trustable을 이용하여 Mi 4에 대해 분석해 본 결과, Masterkey, FakeID 및 Towelroot(Linux futex) 등의 취약점을 발견했습니다. 


Mi 4의 보안 취약점

Bluebox 연구원들은  Mi 4가 하트블리드 취약점에 취약할뿐만 아니라, 다양한 보안 취약점을 갖고 있다고 밝혔습니다. Blaich는 “이 기기는 우리가 스캔하는 보안 결함에 모두 취약했을 뿐만 아니라 루팅되어 있었고, 연결된 컴퓨터와의 통신을 적절하게 알려주지 않은 채로 USB 디버깅 모드가 활성화된 상태였다.”고 밝혔습니다.
 
또한 서로 충돌하는 API 빌드들이 발견되었습니다. 이는 테스트를 위한 것인지, 소비자 공개용인지조차 확실하지 않은 상태임을 의미합니다. 

이에 샤오미측은 해커뉴스에 아래와 같은 공식 성명서를 보냈습니다.

“우리는 현재 해당 이슈에 대하여 조사 중에 있습니다. 하지만 Bluebox가 공개한 블로그 포스팅에는 정확하지 않은 점들이 있습니다. 공식 샤오미 기기들은 루팅되어 있지 않으며, 악성 SW도 탑재되어 있지 않습니다. 따라서 Bluebox가 테스트한 기기가 표준 MIUI ROM이 아닐 것으로 추측하고 있습니다.”

“Bluebox가 테스트한 기기는 비공식 채널을 통하여 구매한 Mi 4로, 임의로 변경되어 있을 가능성이 있다고 생각합니다. 우리의 공식 판매채널은 Mi.com 및 몇몇 파트너사들 뿐입니다. ”

“또한, Bluebox블로그에서 주장한 것과 다르게 중국 버전이든 해외 버전이든 MIUI는 정품 안드로이드로, 안드로이드 CDD를 준수하고 있으며, CTS테스트도 모두 통과하였습니다.” 


▶ Xiaomi 공식 입장

이에 관련하여 3월 9일, Xiaomi 측은 해커뉴스에 추가적으로 성명서를 보냈습니다. 
       
최근 Bluebox 연구원들이 Xiaomi 4에 악성코드가 선 탑재되었다고 주장하여, 해당 이슈에 대하여 조사에 착수하였습니다. 조사 결과, Bluebox 연구원이 조사한 휴대폰 기기가 정품이 아닌 모조품(짝퉁)인 것으로 확인되었습니다.

Bluebox 연구원들이 조사한 기기가 정품 Xiaomi 제품이 아니라는 증거는 아래와 같습니다.

1. 하드웨어
샤오미의 하드웨어 전문가들이 Bluebox에서 제공한 해당 기기의 내부 사진을 분석한 결과, 정품 Xiaomi Mi 4가 아닌 것으로 확인되었습니다.
2. IMEI 번호
샤오미의 A/S팀은 Bluebox가 구매한 기기가 복제된 IMEI 번호를 사용하고 있는 것을 확인하였습니다. 또한, 해당 IMEI 번호는 과거 중국에서 만들어진 다른 샤오미 모조품에 사용된 적이 있었습니다.
3. 소프트웨어
샤오미의 MIUI 팀은 Bluebox가 구매한 기기에 설치된 소프트웨어가 샤오미에서 배포하는 공식 MIUI 빌드가 아닌 것을 확인하였습니다. 

샤오미 측은 조사를 통하여 위와 같은 내용을 확인하였고, 결론적으로 모조품 샤오미 기기를 입수하여 조사한 것으로 확인되었다고 밝혔습니다. 
   
공식 샤오미 하드웨어도 아닐 뿐만 아니라, 정품 MIUI 소프트웨어가 탑재된 것이 아니므로 Bluebox가 발표한 연구결과는 샤오미 기기에 대한 올바른 평가가 아닙니다. 이에 우리(Xiaomi)는 Bluebox가 너무 섣불리 결론을 발표한 것이 아닌가라는 생각합니다.
    
중국의 모조품들은 겉모습만으로는 판단할 수 없을 만큼 정교하게 만들어질 뿐만 아니라, 해당 기기에 악성코드를 선 탑재하거나 CPU-Z, Antutu 등과 같은 벤치마킹 소프트웨어의 변조된 카피버전을 선 탑재시킬 수도 있습니다. 이번 사건을 계기로 샤오미는 모조품 기기의 생산자나 MIUI를 불법으로 복제하는 사람들을 좀 더 엄중히 단속할 것입니다.


참고:

티스토리 방명록 작성
name password homepage