탈옥강좌/시디아

Path란 무엇인가? 위치정보 UDID 연락처 수집을 방지하는 Protect My Privacy

T.B 2012. 2. 23. 21:09

지난 몇 주간 iOS 보안에 관한 가장 큰 화제를 꼽으라면 Path(패스)가 되겠습니다. Path란, '친구추가' 기능을 제공하는 Twitter, Foursquare, Tumblr, Facebook와 같은 소셜네트워크로 쉽게 로그인하여 사진과 비디오를 올리고 블로그와 트위터를 할 수 있는 앱스토어에 등록된 앱을 말합니다. 


문제는 이 Path가 사용자 주소록 정보를 사용자의 동의 없이 무단으로 수집한다는 것을 Arun Thamp 라는 개발자가 지난 2월 7일 밝혀냈고, 이는 공공장소에서 비암호화된 WiFi를 이용할 경우 주소록 정보가 유출 될 수 있다는 보안 위험성도 함께 밝혀졌습니다.(여기서 또, 탈옥폰이 더 안전한 이유중 하나인 OpenSSH를 써야하는 이유를 언급해야 합니다만 몇번 반복했던 얘기로 줄이겠습니다.) 이에 대해 Path의 CEO Dave Morin은 주소록 정보를 수집한 것이 빠르게 친구를 찾아 주기 위함이라는 도대체가 이해할 수 없는 변명을 늘어놨고, Opt-in(사용자 동의) 방식으로 변경하겠다고 밝혔으며 Path v2.0.6 에서는 Opt-in 방식이 적용됐습니다.

cf. 애플의 앱스토어 정책은 사용자 정보 수집에 있어서 1) 자사 정책상의 동의를 구하지 않고 사용자 정보를 수집 또는 전송할 수 없고 2) 사용자에게 해당 정보가 어떤식으로 쓰일 것인지 분명하게 밝혀야합니다.

cf. 모든 개인정보(주소록, 주민번호, 위치정보, 카드번호, 통장번호, 비밀번호 등 아이폰에서 송수신 되는 모든 데이터 정보)를 수집할 수 있는 카카오톡이 이 정보를 사용자에게 동의를 구하거나 사용출처를 밝히지 않고 제3자(카드사, 대부업체, 선거철 정당 등)에게 판매했다면 명백하게 애플 정책 위반입니다. 국내 가입자 2200만명 해외 가입자 3000만명의 카카오톡이 땅파서 서비스하지는 않습니다.

Path 논란으로 유명 시디아 개발자인 Ryan Petrich이 연락처 업로드를 방지하는 Contact Privacy라는 시디아 트윅을 배포하자 Path 문제가 앱스토어에 등록된 어플들의 보안 문제로 번졌습니다.


지난번 소개해드렸던 美 캘리포니아 대학의 논문 테이블에서 확인 할 수 있듯이 앱스토어에 등록된 앱이 시디아 트윅보다 더 많은 개인정보를 유출하고 있는 것을 확인할 수 있습니다. 자세한 내용과 논문 전문은 '앱스토어 앱 보다 시디아 트윅이 더 안전하다'(참고) 를 참고하시길 바랍니다.

위치정보, UDID, 연락처 수집을 방지하자.
Protect My Privacy 

 
위와 같은 이유로, 이번에 소개해드릴 시디아 트윅은 Protect My Privacy(BigBoss, Free)(라는 트윅입니다. Ryan Petrich의 Contact Privacy가 연락처 수집만 막아주는 것에 비해서

1) 위치정보 페이크(LocationHolic 과 유사한 기능)
2) UDID 페이크(UDIDFaker와 유사한 기능)
3) 연락처 수집 방지 (
Contact Privacy 와 중복 기능, 둘 중 하나만 선택사용)

총 3가지 기능을 제공합니다. 설치 후 홈화면에 아이콘으로 등록되며 Extensions 설정에는 등록되지 않습니다. 설정 > 알림 > 편집을 클릭하고 '알림센터'에 등록해 두시면 좀 더 편리하게 사용할 수 있습니다. cf.  LockInfo를 사용중이라면, 알림센터에 등록되지 않습니다.(미호환) LockInfo를 제거하면 정상적으로 등록할 수 있습니다. 또한, 굳이 알림센터에 등록하지 않고 사용하셔도 됩니다.


Settings를 클릭하면 Identifier(UDID 페이크), Location(위치정보), Contacts 3가지 설정 항목을 볼 수 있습니다.


Contacts 사용은 Contact Privacy 와 유사하고,  Identifier에서 Generate를 클릭하여 랜덤으로 UDID를 페이크 할 수 있습니다. Location에서는 pin을 드래그 해서 고정하여 자신의 위치정보도 변경할 수 있습니다.


탈옥이나 루팅 등 비정상적인 단말기 사용은 당연히 문제가 될 수 있습니다. 어플이나 트윅을 꽁짜로 쓰시겠다고 비정상적인 루트로 설치(특히 코드 확인 없이 .deb 파일 설치)하는 것은 보안상 문제가 발생할 수 있을 뿐만 아니라, 심지어 '이게 지금 문제가 발생한 건지 아닌지도 모르고 넘어갈 수도' 있다는 웃지 못할 상황이 야기될 수도 있습니다.

그러나, 제대로 알고 사용한다면 탈옥폰이 오히려 더 안전할 수 있습니다.
(참고) 앱스토어 앱 돈주고 사고, '인증된 트윅을 선택적으로 사용하되' 시디아 스토어에서도 정식으로 구매하고, 최적화 및 안정화 작업만 잘 마친다면 크게 문제될 가능성이 낮을 뿐만 아니라 순정폰 보다 편리함과 더불어 오히려 보안상의 장점을 가질 수도 있습니다. 물론, 마구잡이로 설치만 하지 마시고 이게 뭐하는 건가? 정도는 알아야겠죠?


 T.B의 SNS 이야기 블로그의 모든 글은 저작권법의 보호를 받습니다. 어떠한 상업적인 이용도 허가하지 않으며, 이용(불펌)허락을 하지 않습니다.

▲ 사전협의 없이 본 콘텐츠(기사, 이미지)의 무단 도용, 전재 및 복제, 배포를 금합니다. 이를 어길 시 민, 형사상 책임을 질 수 있습니다.

▲ 비영리 SNS(트위터, 페이스북 등), 온라인 커뮤니티, 카페 게시판에서는 자유롭게 공유 가능합니다.


T.B의 SNS이야기 소식은 T.B를 팔로윙(@ph_TB) 하시면 실시간으로 트위터를 통해서 제공 받을 수 있습니다.

728x90
반응형