글
안드로이드 루팅 툴인 매지스크의 개발자가 다음과 같은 메세지를 트위터에 남겼습니다.
- 새로운 화웨이 기기에서 '무작위의' 타사 앱 설치와 한번의 탭으로 G Apps (구글 앱스)를 설치 할수 있는 이유가 궁금한가?
나는 깊이 더 파고들어서 뭔가를 발견했다.
이것은 매우 심각한 문제이고 더 자세하게 조사하기 시작했다. 나는 그것이 매우 큰 무언가로 이어 질 수 있다고 생각하며,
조급하게 결론 내는 것을 원하지 않는다. 더 자세한 건 기다려달라
P.S 화웨이 기기들을 사지도 말고 쓰지도 말라.
후속 내용 관련 페이지
내용 요약
- 새로운 화웨이 스마트폰에서 표준 안드로이드에선 찾아 볼 수 없고, 문서화 되어있지도 않은 특정 MDM API를 이용하여
구글 앱스를 설치할 수 있다. 또한 화웨이만의 특수 인증서로 서명 된 프로그램이다.
- 구글 앱스를 설치 해 주는 웹 페이지 (https://www.lzplay.net/)에서 APK를 설치 하고 지침을 따르기만 하면 된다.
중국 스마트폰에서 구글 앱스를 설치하는 것은 흔한 일이지만, LZ Play의 경우 '마법' 이 들어가있다.
앱을 조사하여보니 AndroidManiFest.xml 문서 에서 흥미로운 것을 발견하였다.
이것들은 표준으로 보이지 않으며, 권한 또한 무서워 보인다.
LZ Play 앱 안에는 Huawei Security Authorization SDK가 들어가있었고, 이는 화웨이에서 자체적으로 제공하는 MDM API이다.
SDK 자체는 공개되어있으나, 공개된 문서에 포함되어 있지 않은 권한이 들어가있었고,
LZ Play 앱의 목적은 구글 앱스를 설치하는 것 뿐이다.
이 앱이 합법적, 불법적 여부를 떠나서 엄연히 백도어에 해당하므로 보안 관점에선 애초에 존재하면 안된다.
시스템 이미지를 핸들링 할 수 있으며. 악의적인 변조에 취약하다.
LZ Play 앱은 QiHoo Jiagu (奇虎加固)에 의해 난독 처리 및 암호화 되어 있다.
더 상세한 부분은 시스템 이미지가 있어야 가능하지만, 우리에게 화웨이 장치가 없어서 접근은 불가능하고,
혹시나 더 많은 권한이 부여되었을지도 모른다는 내용입니다.
'Scrap' 카테고리의 다른 글
| 판매중인 5G 단말기, 내년 나올 28GHz 서비스 못쓴다 (0) | 2019.10.04 |
|---|---|
| 화웨이 메이트 30 프로, 백도어가 공개된 이후 더 이상 구글 앱을 설치할 수 없다. (0) | 2019.10.03 |
| *#*#86583#*#* 과 *#*#4643#*#* 무슨 차이? (0) | 2019.09.30 |
| DropBox 가입 (0) | 2019.09.22 |
| [스크랩]일부 은행앱 관련 불합리 (0) | 2018.07.15 |
RECENT COMMENT