2011.12.08

캐리어IQ 보안 위험, 부풀려진 거였나?

George V. Hulme | CSO
캐리어IQ의 프라이버시 침해에 대한 최종 판결을 기다리는 동안 필자는 보안 전문가들에게 모바일 진단 소프트웨어가 할 수 있는 잠재적인 보안 침해에 대한 영향은 무엇인지 물었다.  
 
캐리어IQ는 이번 주 초 공식 성명에서 "우리의 소프트웨어는 SMS 메시지, 이메일, 사진, 오디오, 비디오 등의 콘텐츠를 기록하거나 저장하거나 옮기지 않는다"며, 특정 고객들을 관해 상세한 개인 정보를 캡처하는 것을 적극 부인했다. "예를 들어 우리는 하나의 SMS가 정확하게 어디로 보냈는지를 알 수 있지만 SMS 콘텐츠를 기록하거나 옮기지 않는다." 
 
보안 관리자들과 그들의 기기에 있는 데이터의 안전함을 보장하는 것에 관심이 많은 이들을 위한 물음이다. “만일 그렇다면 캐리어IQ 소프트웨어가 위험을 증가시켰는가?” 
 
만약 우리가 트래벌 에크하르트가 찍은 비디오 안에서 무선으로 어떤 것을 캡처할 수 있는 봤다고 상상해보자. 사이버시큐리티 임원이자 CSC에서 프라이버시 컨설팅을 하는 마크 라츠는 "나는 여전히 그 애플리케이션이 영구히 데이터를 저장하고 어느 곳이든 전송한다는 그 데이터 흐름이 나타나는 것을 보지 못했다"고 밝혔다. 
 
보안 연구가 댄 로젠버그는 "캐리어IQ는 많은 나쁜 일을 한다. 그것은 사용자 프라이버시에 대한 잠재적인 위험이 있다. 그리고 사용자에게는 그것을 빠져나갈 수 있는 권한이 주어져야 했다"고 주장했다. 
 
로젠버그는 패스트빈닷컴(Pastbin.com) 포스트에서 "그러나 사람들은 키보드 누름과 같은 이벤트를 기록하는 것과 HTTPS URLs 버퍼를 디버깅하는 것, 그리고 이 데이터를 실제 수집, 저장, 옮기는 것에는 큰 차이점이 있다는 것을 인식할 필요가 있다"고. "자신과 캐리어IQ 엔지니어와 입장을 바꾼다면 '나는 그들이 공공연히 주장했던 어떤 것도 수집한다는 증거를 보지 못했다"고 덧붙였다. 
  
마크 라츠는 "만약 캐리어IQ가 휴대폰 사용자 경험에 관해 정보를 수집할 수 있는 일을 한다면 개발자들은 좀더 나은 소프트웨어를 만들 수 있을 것이다. 나의 유일한 이슈는 그 프로세스는 안전한가, 그리고 끄기 쉬운가"다"라고 말했다.  
 
스파이어 시큐리티 임원 피트 린드스트롬은 "만약 있다손치더라도 매우 작은 부가적인 위험이 있을 뿐"이며, "이론상으로 캐리어IQ의 기록을 공격자가 가로챌 수 있다. 그러나 그것은 실제 공격자가 당신의 폰에 액세스할 정도라면 당신은 벌써 중요한 문제가 있는 것"이라고 주장했다. 
 
시큐로시스 연구소 창립자이자 애널리스트 리치 모걸은 "그 위험은 실제로 그 기기를 잃어버리거나 통신사가 그 데이터를 실제로 수집할 만큼 정신나간 어리석었을 때다. 양쪽 모두 상당히 가능성 있게 보인다. 당신이 통신사가 제공하는 루트킷에서 자유로운 폰을 원한다면 유일하게 의지할 수 있는 계약서에 이를 넣거나 루트 킷으로부터 안전한 폰들의 목록을 얻어라"고 말했다.   
 
물론 이것은 모바일 기기가 안전하다는 것을 의미하지 않는다. 그것과는 거리가 멀다. 
최근 미국 노스 캐롤라이나 주립 대학 연구원들은 오픈 소스 운영체제인 안드로이드를 기반으로 하는 스마트폰에서 심각한 취약점을 발견했다. 
 
시만텍 연구보고서에 따르면 안드로이드 스마트폰이 감지하는 능력 부족으로 인해 안드로이드 승인에 대한 보안 제어들을 우회하는 앱이 가능하다. 이런 믿을 수 없는 앱을 통해 어떠한 허가없이도 사용자의 데이터나 음성 통화, 위치 정보 등을 가로챌 수 있다고. 
 
어째거나 캐리어IQ는 보안 위험과는 거리가 멀거나 없다. 우리가 확실히 알고 있는 한 가지는 모바일 보안 위험은 좀더 관심을 받아야 하며 소중한 데이터가 그 기기들에 있다는 것이다.  editor@itworld.co.kr


2011.12.08

캐리어IQ 보안 위험, 부풀려진 거였나?

George V. Hulme | CSO
캐리어IQ의 프라이버시 침해에 대한 최종 판결을 기다리는 동안 필자는 보안 전문가들에게 모바일 진단 소프트웨어가 할 수 있는 잠재적인 보안 침해에 대한 영향은 무엇인지 물었다.  
 
캐리어IQ는 이번 주 초 공식 성명에서 "우리의 소프트웨어는 SMS 메시지, 이메일, 사진, 오디오, 비디오 등의 콘텐츠를 기록하거나 저장하거나 옮기지 않는다"며, 특정 고객들을 관해 상세한 개인 정보를 캡처하는 것을 적극 부인했다. "예를 들어 우리는 하나의 SMS가 정확하게 어디로 보냈는지를 알 수 있지만 SMS 콘텐츠를 기록하거나 옮기지 않는다." 
 
보안 관리자들과 그들의 기기에 있는 데이터의 안전함을 보장하는 것에 관심이 많은 이들을 위한 물음이다. “만일 그렇다면 캐리어IQ 소프트웨어가 위험을 증가시켰는가?” 
 
만약 우리가 트래벌 에크하르트가 찍은 비디오 안에서 무선으로 어떤 것을 캡처할 수 있는 봤다고 상상해보자. 사이버시큐리티 임원이자 CSC에서 프라이버시 컨설팅을 하는 마크 라츠는 "나는 여전히 그 애플리케이션이 영구히 데이터를 저장하고 어느 곳이든 전송한다는 그 데이터 흐름이 나타나는 것을 보지 못했다"고 밝혔다. 
 
보안 연구가 댄 로젠버그는 "캐리어IQ는 많은 나쁜 일을 한다. 그것은 사용자 프라이버시에 대한 잠재적인 위험이 있다. 그리고 사용자에게는 그것을 빠져나갈 수 있는 권한이 주어져야 했다"고 주장했다. 
 
로젠버그는 패스트빈닷컴(Pastbin.com) 포스트에서 "그러나 사람들은 키보드 누름과 같은 이벤트를 기록하는 것과 HTTPS URLs 버퍼를 디버깅하는 것, 그리고 이 데이터를 실제 수집, 저장, 옮기는 것에는 큰 차이점이 있다는 것을 인식할 필요가 있다"고. "자신과 캐리어IQ 엔지니어와 입장을 바꾼다면 '나는 그들이 공공연히 주장했던 어떤 것도 수집한다는 증거를 보지 못했다"고 덧붙였다. 
  
마크 라츠는 "만약 캐리어IQ가 휴대폰 사용자 경험에 관해 정보를 수집할 수 있는 일을 한다면 개발자들은 좀더 나은 소프트웨어를 만들 수 있을 것이다. 나의 유일한 이슈는 그 프로세스는 안전한가, 그리고 끄기 쉬운가"다"라고 말했다.  
 
스파이어 시큐리티 임원 피트 린드스트롬은 "만약 있다손치더라도 매우 작은 부가적인 위험이 있을 뿐"이며, "이론상으로 캐리어IQ의 기록을 공격자가 가로챌 수 있다. 그러나 그것은 실제 공격자가 당신의 폰에 액세스할 정도라면 당신은 벌써 중요한 문제가 있는 것"이라고 주장했다. 
 
시큐로시스 연구소 창립자이자 애널리스트 리치 모걸은 "그 위험은 실제로 그 기기를 잃어버리거나 통신사가 그 데이터를 실제로 수집할 만큼 정신나간 어리석었을 때다. 양쪽 모두 상당히 가능성 있게 보인다. 당신이 통신사가 제공하는 루트킷에서 자유로운 폰을 원한다면 유일하게 의지할 수 있는 계약서에 이를 넣거나 루트 킷으로부터 안전한 폰들의 목록을 얻어라"고 말했다.   
 
물론 이것은 모바일 기기가 안전하다는 것을 의미하지 않는다. 그것과는 거리가 멀다. 
최근 미국 노스 캐롤라이나 주립 대학 연구원들은 오픈 소스 운영체제인 안드로이드를 기반으로 하는 스마트폰에서 심각한 취약점을 발견했다. 
 
시만텍 연구보고서에 따르면 안드로이드 스마트폰이 감지하는 능력 부족으로 인해 안드로이드 승인에 대한 보안 제어들을 우회하는 앱이 가능하다. 이런 믿을 수 없는 앱을 통해 어떠한 허가없이도 사용자의 데이터나 음성 통화, 위치 정보 등을 가로챌 수 있다고. 
 
어째거나 캐리어IQ는 보안 위험과는 거리가 멀거나 없다. 우리가 확실히 알고 있는 한 가지는 모바일 보안 위험은 좀더 관심을 받아야 하며 소중한 데이터가 그 기기들에 있다는 것이다.  editor@itworld.co.kr


X