미니 삼성폰, 기본 앱에 中 SW..실행때마다 中서 들여다봤다
- 팝카드있으세요
- 조회 수 653
- 2020.01.08. 10:12
김승주 고려대학교 정보보호학부 교수는 "삼성 측에서 중국으로 개인정보 유출이 이뤄지지 않는다고 답했다면 현 시점에서는 사실이 맞을 것"이라면서도 "업데이트에 따라 나중에 추가로 어떤 기능이 들어갈 지 모르는 상황에서, 사용자가 직접 깐 것도 아니고, 지울 수도 없는 선탑재 앱을 가급적 줄이고, 삼성이 자체 개발한 걸 제공해야 한다"고 강조했다.
청와대 안보특보를 지낸 임종인 고려대학교 정보보호대학원 사이버국방학과 교수도 "지난해 통신사의 5G망 구축에 화웨이 장비를 사용한 것이 큰 논란이 된 것은 화웨이 장비에 기술적 결함이나 보안문제가 있다는 '팩트'가 아니라 그럴 '가능성'이 있다는 신뢰의 문제 때문이었다"며 "백도어는 언제든 업데이트하면서 깔 수 있으며 이는 관리자나 이용자가 전혀 모르게 설치되는 것인데, 중국은 정치와 경제가 완전히 분리되지 않아 그 신뢰가 떨어지기 때문에 이용자들이 우려하는 것"이라고 지적했다.
임 교수는 "특히 기본 탑재앱에 중국산 프로그램을 활용하는 것은 삼성의 신뢰도를 떨어트릴 것"이라며 "국제적으로 중국 백도어에 대해 예민한 상황에서 굳이 중국산 프로그램을 쓰는 것에 대해 삼성측이 명백하게 설명할 수 있어야하며, 명백한 설명을 할 수 없다면 글로벌 마인드가 부족한 것"이라고 꼬집었다.
https://news.v.daum.net/v/20200108091845005
이 설명이 맞는것 같네요.
저 앱을 삼성이 만들었다는거는 알악이 국산 백신이라는 말과 동급입니다. 실제 엔진은 360이고 그 위에 껍데기만 만든거죠. 아마 로열티 지불하고 기술 받아오는 형태일겁니다. 그게 무슨 자체개발이죠.
문제는 이런겁니다.
1. 남겨야 하는 앱을 남길수 있고
2. 반대로 지우고 싶은 앱을 정크처리할수도 있습니다. (예를 들어 경쟁사 앱을 삭제하는 일은 중국에선 비일비재했음)
3. 디바이스케어는 시스템 앱이기 때문에 거의 모든 권한을 다 갖고 있습니다. 하다못해 통화, 메시지 권한까지 전부.
시스템 앱이 중국산인것부터 꺼림직한데요.
저 앱을 삼성이 만들었다는거는 알악이 국산 백신이라는 말과 동급입니다. 실제 엔진은 360이고 그 위에 껍데기만 만든거죠. 아마 로열티 지불하고 기술 받아오는 형태일겁니다
https://bbs.ruliweb.com/news/board/1004/read/2169156?
삼성 공식 답변이 아니라는데 삼피셜을 부인할 만한 근거를 가지고 계신가요? 딱 못 박아서 "360 백신 앱의 어떠한 기능도 사용하지 않고"라는데요.
앱을 그냥 갖다쓰진 않았다 수준으로 읽히네요. 맞춤화된 뭔가를 했다는 정도의 소리죠. 그리고 실제로 360 단독이 아니라 맥아피랑 합쳐놨으니 그냥 갖다쓴거야 아니겠죠. 하지만 db만 받아왔다? 이런 전례가 있었는지 잘 모르겠습니다. 일단 맥아피의 경우 스캐너가 들어가는걸로 아는데, 최소한 360도 그정도는 들어갈겁니다. 그래야 로열티 줄만 하죠. 실제로 몇몇국가의 경우 powered by 360 또는 developed by 360 정도의 문구가 들어갑니다. 단순 db지원은 아니라는 말이죠.
위에도 썼지만 db 받아오는게 문제없다는건 아닙니다.
developed라고 써있는데 db만 받아온거 맞냐는 반응은 레딧에서 갖고 온겁니다. 그 문구가 technique이든 developed든 powered든 최소한 db만 받아왔을때 쓰는 문구는 아닙니다. 애초에 중국에서 db만 갖고왔어도 꺼림직한데, 저 문구들은 db 이상의 것들을 의미합니다. 디바이스케어는 저장소는 물론 전화, 메시지까지 거의 모든 권한이 있습니다.
화웨이 5g장비도 아직 겉으로는 아무 문제 없습니다. 화웨이가 맨날 다 공개할수 있으니 공개검증하자고 난리잖아요? 미국도 잠재적으로 우려하는거지 특정한 보안문제를 집어서 말하진 않고 있습니다.
공식적으로 문제없는 유플러스 화웨이장비는 어떠신가요
화웨이가 맨날 보안문제 없다고 검증하고싶음 하라고 난리치는데 여기에 나선곳이 하나도 없죠.
지금 당장 문제가 없어보여도 나중에 가면 모르는겁니다. 문제는 중국공산당이 까라면 기업들은 까야 하는거고 그래서 신뢰성 자체를 담보를 못하는거죠.
고작 정크파일이라고 생각하세요? 정크파일을 이용해 원하는 특정 사람이 무슨 앱을 설치했는지만 파악해도 큰 성과입니다. 같은 앱으로 위장한 apk를 보내서 설치를 유도할수도 있구요. 해당 앱의 서버를 해킹해서 백도어를 밀어넣을수도 있는겁니다.
그래서 개인적으로 비트디펜더로 웹보호부터 개인정보유출검사까지 2중으로 해놓고
의심스러운 네트워크는 AvastVPN쓰고 그럽니다...
하지만, 이번 사건은 여러 정보를 종합해본 결과,
치후360으로 개인정보가 전달되는 확실한 증거도 없을뿐더러
삼성에서도 데이터베이스만 가져다가 모듈 단위로 사용하고있는것을 알았기에
(본문에 링크기사에도 DB를 제외하고 실제 작동은 삼성솔루션으로 작동한다고 되어있지요.)
이게 본문의 기사제목처럼 완전 위험한,
지금당장 폰에 구멍 숭숭 뚫린 상태처럼 과장할필요 하나도 없다고 생각합니다.
그리고 구글 개발자 계정을 탈취해서 구글 플레이로 스파이웨어를 뿌리면
그건 치후360과 전혀 상관없이 모든 안드로이드폰이 감염되는거니,
이번 치후360과 엮을 부분 단 1%도 없는 사항이 아닐까 생각이 되는군요.
이번 문제는 신뢰하기 힘든 중국이 폰 기본 앱에 뭍어서 그게 찜찜해서 꺼려질뿐,
그 이상 그 이하도 아니라는 생각이고, 많은 사용자가 찜찜해서 꺼려하고 있다는걸
삼성에서도 잘 알았을테니, 상황에 따라서 라이센스 종료시점 또는 그 이전에
데이터베이스 부분을 치후360이 아닌, 다른업체로 교체를 하지 않을까 싶네요.
https://meeco.kr/mini/26485881
미코의 이 글의 링크를 따라가면 그 글에 댓글에 이런 내용이 있더라구요.
We need to clarify some things first. Samsung states "Uses technique from 360" which doesn't equal it being the native Qihoo 360 cleaning app but instead part of the code/custom modules implemented into Samsung's own base code. I highly doubt Samsung would implement the 'Phone home' code but instead filter lists, scanner engine and algorithms and most likely customized since Samsung pay royalties for using 360 software tech. AV in Samsung units (One UI) are by McAfee and if enabled only has the AV module scanner that only scans when installing/updating apps.
레딧 댓글 읽어보는 중인데 삼성측은 이미 Qihoo 360 클리닝 앱으로 만들지는 않고 자체 베이스 코드로 구현된 코드/사용자 정의 모듈의 일부라고 설명했다네
번역: 우리는 먼저 몇 가지를 분명히 할 필요가 있다. 삼성은 360의 유스 테크닉을 기본 Qihoo 360 클리닝 앱으로 만들지는 않고 자체 베이스 코드로 구현된 코드/사용자 정의 모듈의 일부라고 설명했다. 나는 삼성이 '폰홈' 코드를 실행할지 매우 의심스럽다. 그러나 대신 필터 목록, 스캐너 엔진, 알고리즘, 그리고 삼성이 360 소프트웨어 기술을 사용하는 것에 대한 로열티를 지불하기 때문에 아마도 맞춤화된 것 같다. 삼성 유닛의 AV(One UI)는 McAfee에 의해 제공되며, 활성화된 경우 앱 설치/업데이트 시만 검사하는 AV 모듈 스캐너만 가지고 있다.
튜닝이라도 해서 삼성의 제어 하에 있는거랑
튜닝안하고 그대로 빼다박에서 삼성손을 벗어난거랑 큰 차이가 있다고 봅니다.
안을 들여다본거랑 못보게 밀봉되어있는거랑 문제발생시 손쓰는거에 엄청난 차이가 생기죠.
서버는 최근에 삼성클라우드 MS와 협업해서 원드라이브로 통합 시작하는거 보면 딱 답 나오지요.
저는 차라리 원드라이브랑 통합해서 원드라이브 공간이나 결재해볼까 했더니
아직은 노트10을 대상으로만 진행된다고 하더랍니다.
삼성멤버스도 서버상태가 좋지 않아서 푸시도 막 몇시간 뒤에오고 그래요.
삼성 서버에 관련된 부분은 비즈니스로 딱 유료로 제공하는거랑
부가적인 서비스로 제공하는거랑의 서비스질의 차이가 좀 있다고 봅니다.
지문패치때도 용량 얼마나한다고 순차패치에 늦기까지하냐고 엄청나게 이야기가 있었지요.
중국산 프로그램을 쓰는 게 아니라 db만 확인한다는데 이상한 기사인 듯요. 프로그램 자체는 삼성에서 개발한 것이라고 답변한 바 있습니다.