안드로이드에서 아이폰의 전용 메시지 앱인 아이메시지(iMessage)이 사용가능해 질 것이라는 소식이 있었습니다. 영국의 스마트폰 제조사 낫씽(Nothing)이 낫씽 폰2(Nothing Phone 2)에서 사용할 수 있는 낫씽 챗(Nothing Chats)을 기본 메세지 앱으로 사용하면 아이메세지가 가능하다는 설명이였습니다.
이러한 아이디어는 아이메세지를 자신의 맥(Mac)에 연결하여 받거나 원격으로 안드로이드로 가져오는 다양한 방법 등이 있지만, 낫씽과 RCS 기반의 메시징 앱을 준비중인 미국의 썬버드(Sunbird)는 안전하지 않은 방법으로 아이메세지를 연결시킨 것으로 보여집니다. RCS(Rich Communication Suite)는 기존 문자메시지 서비스(SMS/MMS)가 진화한 차세대 모바일 커뮤니케이션 서비스로 GSMA(국제이동통신사업자연합회)의 차세대 표준 문자 규격입니다.
썬버드는 아이메세지에서 메세지와 전자명함의 세계 표준 파일 형식인 vCard 등을 기록하고 보관할 뿐 아니라 보관된 사용자 데이터도 다른사람이 다운로드 할 수 있다는 사실을 발견했다고 합니다. 낫씽 챗(Nothing Chats)은 지난주 금요일에 발표된 후 24시간도 채 되지 않아 구글 플레이스토어(Google Playstore)에서 삭제되었습니다.
이 앱은 암호화가 부족하고 일반 텍스트 HTTP를 사용하여 인터넷을 통해 로그인 자격 증명을 보내는 등 며칠만에 의혹이 제기되었고 보안장치가 턱없이 부족하다는 사실이 밝혀지면서 낫씽과 선버드 서비스의 상황은 더욱 악화되었습니다. 이후 "몇가지 버그를 수정하기 위하여 썬버드와 협력하여 추후 통지지 있을 때까지 출시를 연기할 것"이라는 낙관적으로 낫씽의 발표도 있었습니다.
안드로이드 앱 개발자 Dylan Roussel은 이 앱이 사용자에게 극도로 안전하지 않다는 사실을 입증하는 몇 가지 사실을 발견하고, "기기의 앱을 통해 주고받은 모든 메시지에 접근 할 수 있다"라고 발표했으며 앱을 통해 전송된 이미지, 비디오, vCard를 포함한 모든 문서를 공개적으로 볼 수 있으며, 썬버드는 이를 오류인 것 처럼 기록한다고 발표했습니다.
텍스트 전송을 시도하고 성공한 후 Roussel은 다른 형태의 미디어 전송을 시도한 결과 해당 미디어가 Firebase로 전송되었음을 확인했으며 그런 다음 다른 사용자가 게시한 미디어를 볼 수 있고, 생성할 수 있을 뿐 아니라 일부 요소에 접근 가능함을 확인했습니다. 아래는 Dylan Roussel의 X(트위터)에 게시된 내용입니다.
썬버드는 637,000개 이상의 미디어 항목을 저장했습니다. 해당 컬렉션에는 대화 시작 시 사용자의 Apple ID 이메일 주소가 연락처 전화의 전화번호와 병합되도록 앱에서 다른 사람에게 보내도록 제안하는 vCard가 포함되어 있습니다.
그런 다음 Roussel은 아카이브에 있는 2,300개 정도의 vCard 중 하나를 다운로드하여 다른 사용자의 전화번호와 세부 정보를 얻을 수 있음을 입증했습니다.
파일도 원본 파일 이름을 그대로 유지하여 저장되었습니다. Roussel은 이것이 URL의 일부나 기밀 또는 민감한 정보를 포함할 수 있어 보안에 더 큰 영향을 미칠 수 있기 때문에 문제가 된다고 말했습니다.
마지막으로 Roussel은 채팅이 전혀 암호화되지 않았다고 말했습니다. "미디어가 공개적으로 공유된다는 사실을 알게 된 후, 이 소식은 썬버드와 더 나아가 낫씽 챗이 모든 곳에서 광고되는 것처럼 엔드투엔드가 아니라는 사실을 깨닫게 되었습니다."라고 개발자는 썼습니다.
아무것도 할 수 없는 일에 대해 Roussel은 당시 앱을 Play 스토어에서 제거한 다음 모든 사용자에게 경고해야 한다고 말했습니다. 유럽의 GDPR 규정에 따라 썬버드는 취약점을 통보받은 후 72시간 이내에 피해자에게 통보해야 합니다.
"낫씽 챗(Nothing Chats)은 낫씽(Nothing)이 개발한 것이 아닙니다. 하지만 낫씽(Nothing)은 자신의 이름을 사용하는 앱이 안전하다고 주장하기 전에 해당 앱이 안전하다는 것을 확인했어야 했습니다."라고 Roussel은 이야기 합니다. "이것은 아마도 수년 동안 휴대폰 제조업체에서 본 가장 큰 개인 정보 보호 악몽일 것입니다."
무엇보다, Play 스토어에서 액세스할 수 있는지 여부에 관계없이 낫씽 챗(Nothing Chats)이나 썬버드(Sunbird)는 당분간 사용하면 안 됩니다.
※ 기사 내용 참조
[Apple Insider] Nothing kills iMessage bridge because it profoundly violated user privacy & security | by Malcolm Owen | Nov 18, 2023 | https://appleinsider.com/articles/23/11/18/nothing-kills-imessage-bridge-because-it-profoundly-violated-user-privacy-security
애플, 아이폰에서 안드로이드와의 쉬운 메시징을 위해 RCS규격 지원 예정 (1) | 2023.11.21 |
---|---|
핸드메이드에서 대량생산까지 예술을 인쇄하는 '아티스젯 UV 프린터' (1) | 2023.11.20 |
Windows는 곧 아이폰, 아이패드, 맥에서도 앱으로 사용?! (0) | 2023.11.17 |
마이크로소프트, Bing Chat을 Copilot으로 브랜드 변경 (0) | 2023.11.16 |
Opal, 노트북용 새로운 웹캠 Tadpole 출시 (0) | 2023.11.15 |
댓글 영역