256개 iOS앱에서 사용자 개인정보 수집

iOS 탈옥 유저라면, Ryan Petrich을 모를 수가 없다. VideoPane, SmartClose, FullForce, BrowserChooser, Display Recorder, Action Menu Plus Pack, AppList, DisplayOut, WiCarrier 등등 엄청나게 유명한 시디아 트윅 개발자이자, 보안 전문가다. 지난 2012년 2월에는 Path 논란을 일으킨 장본이기도 하고, 보안 트윅 Protect My Privacy를 배포중이다.

Ryan Petrich 얘기를 꺼낸 이유는, Path 논란의 핵심이 Path 앱이 사용자 개인정보(위치정보, UDID, 연락처)를 수집했기 때문이다. 그런데, 이번에는 256개의 순정 iOS 앱에서 사용자 정보를 수집한다 하여 논란이다.

인앱 광고를 위해서 앱스토어 개발자(사)들이 이용한 중국 서드-파티 광고 APIs가 탑재된 앱에서 불법으로 사용자 데이터를 수집했으며, 애플은 다량의 앱을 앱스토어에서 제거했다.

먼저, 1차적인 잘못은 중국 앱스토어 개발자(사)들이다. 이들은 애플의 앱스토어 가이드라인을 위반했다. 가이드라인에서는 사용자에게 고지하지 않은 데이터 수집은 허용하지 않는다. 이 APIs들은 이메일 주소, 기기 일련번호 등을 수집하여 약 2년 전 부터 Youmi-run 서버라는 곳으로 모아왔다.

SourceDNA라는 연구소에 따르면 현재 앱스토어에 등록된 앱중 사용자 개인정보를 수집하는 앱이 토탈 256개를 찾아냈고, 이들 앱들은 공통적으로 아래와 같은 개인정보를 수집한다 밝혔다.

1. 아이폰에 설치된 모든 앱 리스트 수집

2. 오래된 iOS 버전이 구동 될 때 아이폰 또는 아이패드에 대한 플랫폼 시리얼 넘버 수집

3. 새로운 iOS 버전이 구동될 때의 기기 하드웨어 부품 리스트와 시리얼 넘버 수집

4. 사용자의 애플ID와 관련있는 이메일 주소 수집

이다. 전체적으로 봤을 때 '마케팅'을 위한 수집으로 보여진다. 설치된 앱에 따라서 사용자 성향을 분석하고 → 오래된 iOS 버전이 구동된다는 얘기는 기기를 변경할 때가 됐다는 얘기며 → 최신 iOS 기기를 쓰는지 확인하고 → 애플 제품을 쓰는 확실한 유저 이메일 주소를 확보할 수 있다.

2012년 Path 논란 당시 미국 캘리포니아 연구소에서는 앱 스토어, 시디아 스토어에서 개인정보를 수집하는 비율을 조사했는데 앱스토어가 시디아 보다 압도적으로 높았다. 즉, 탈옥 시디아 트윅이 앱스토어 순정 앱보다 (piracy를 목적으로 누가 무엇을 어떻게 코딩한 줄도 모르는 크랙 소스를 쓰지 않는다는 전제에서)보안상 더 안전하다.

만약, Ryan Petrich의 Protect My Privacy를 썼다면 1번 ~ 4번 까지의 개인정보 수집 시도시 '팝업'으로 수집 허용 유무를 사용자에게 묻는다. 당연히 이를 사전에 감지하고 막을 수 있다. 아울러, 역시 Ryan Petrich의 SmartClose를 쓴다면 만에 하나라도 사용자 몰래 백그라운드에서 개인정보를 수집하는 행위 자체를 원천적으로 막을 수 있다. 여기에 tsProtector, Firewall iP와 같은 트윅으로 2중 3중 관리한다면, 잘 알고 쓴다는 전제에서, 과거에도 그랬고 현재도 그렇고 앞으로도 단언컨데 탈옥이 순정보다 보안상 더 안전하다.

Source: ArsTechncia

▲ T.B의 SNS 이야기 블로그의 모든 글은 저작권법의 보호를 받습니다. 어떠한 상업적인 이용도 허가하지 않으며, 이용(불펌)허락을 하지 않습니다.

▲ 사전협의 없이 본 콘텐츠(기사, 이미지)의 무단 도용, 전재 및 복제, 배포를 금합니다. 이를 어길 시 민, 형사상 책임을 질 수 있습니다.

▲ 비영리 SNS(트위터, 페이스북 등), 온라인 커뮤니티, 카페 게시판에서는 자유롭게 공유 가능합니다.

T.B의 SNS이야기 소식은 T.B를 팔로윙(@ph_TB) 하시면 실시간으로 트위터를 통해서 제공 받을 수 있습니다.