Building a Trusted Ecosystem for Millions of Apps
A threat analysis of sideloading
October 2021
위 링크에서 관련 내용을 확인할수 있으며
이하로 해당 리포트에 대한 내용을 다룬 기사 세편을 올립니다.
*구글 번역
Apple Says iOS is Safer Than Android Because Sideloading Apps Isn't Allowed - MacRumors - https://www.macrumors.com/2021/10/13/apple-says-sideloading-makes-android-less-safe/
Apple은 iOS가 안드로이드보다 안전하다고 말한다. 왜냐하면 앱의 Sideloading이 허용되지 않기 때문이다.
유럽 아이폰의 앱 이탈을 강제할 수 있는 유럽연합(EU) 집행위원회(EC)의 디지털시장법에 대해 애플이 탈퇴의 보안과 사생활 위험을 강조하는 심도 있는 문서를 공유했다. Sideloading은 웹 사이트나 타사 앱 스토어 등 앱 스토어 외부에 앱을 설치하는 것을 말한다.
'수백만 개의 앱을 위한 신뢰할 수 있는 생태계 구축'이라는 제목의 애플 문서는 "모바일 악성코드와 그에 따른 보안 및 개인 정보 보호 위협이 점점 더 보편화되고 있으며, 주로 차출이 가능한 플랫폼에서 나타나고 있다"고 명시하고 있다. 예를 들어 애플은 안드로이드 기기가 아이폰보다 '악성 소프트웨어 감염이 15~47배 정도 더 많을 것으로 추정했다'는 노키아의 2019년과 2020년 위협 인텔리전스 보고서를 인용했다.
안드로이드 스마트폰은 가장 흔한 모바일 악성코드 대상이며 최근에는 아이폰보다 악성 소프트웨어 감염이 15~47배 정도 더 많았다. 모바일 악성코드의 98%가 안드로이드 기기를 목표로 한다는 연구결과가 나왔다. 이것은 사이드라인딩과 밀접하게 연관되어 있다. 예를 들어 2018년 안드로이드 공식 앱스토어인 구글플레이 외부에 앱을 설치한 안드로이드 기기는 그렇지 않은 기기와 비교해 잠재적으로 유해한 애플리케이션의 영향을 받을 가능성이 8배나 높았다.
반면 애플은 iOS에 대한 악성코드는 드물다고 주장하며 플랫폼에 대한 공격 중 상당수는 "국가국가들이 종종 실시하는, 경미한 표적형 공격"이라고 밝혔다. 애플은 "전문가들도 일반적으로 iOS가 안드로이드에 비해 안전하다는 데 동의하는데, 이는 애플이 사이드 도딩을 지원하지 않기 때문"이라고 덧붙였다.
애플은 부득이하게 사이드 도피를 허용한다면 사용자들은 더 많은 악성 앱을 받게 될 것이고, 앱을 자신의 기기에 다운로드한 후에 더 적은 통제력을 갖게 될 것이라고 말했다. 애플은 일부 제안된 부조종 법률은 독점 하드웨어 요소와 비공개 운영체제 기능에 대한 제3자 접근에 대한 보호를 의무화함으로써 사용자들에게 보안과 프라이버시 위험을 초래할 것이라고 덧붙였다.
애플은 일부 사용자들은 직장, 학교, 또는 다른 필수적인 이유로 필요한 앱을 회피하는 것 외에는 선택의 여지가 없을 수 있기 때문에 앱스토어에서만 앱을 다운받기를 원하지 않고 다운받기를 선호하는 사용자들도 사이드 도피를 요구할 경우 피해를 입게 될 것이라고 덧붙였다. 게다가 애플은 범죄자들이 앱스토어의 외관을 흉내내거나 무료 또는 독점적인 기능을 광고함으로써 사용자들을 속여서 앱을 회피하게 할 수도 있다고 말했다.
애플은 6월에 공유된 유사한 문서에서 이러한 주장들 중 많은 부분을 언급하였다. 팀 쿡 애플 최고경영자(CEO)는 앞서 앱 탈취는 "아이폰의 보안을 파괴할 것"이라며 "앱스토어에 구축한 많은 개인정보 보호 이니셔티브"를 주장했다.
애플의 문서는 계속해서 안드로이드와 같은 모바일 플랫폼에 영향을 미치는 일반적인 악성 프로그램의 예를 제공하고 사이드 도주에 대해 더 많은 주장을 하고 있다.
애플은 아이폰과 아이패드에 앱을 설치할 수 있는 유일한 장소로 남아 있는 앱스토어에 대해 점점 더 많은 감시를 받고 있다. 포트나이트 크리에이터 에픽게임즈는 지난해 애플을 반경쟁적 행위로 고소했지만 법원이 애플에 iOS에 타사 앱스토어를 허용하도록 강제하는 데 실패했다.
Apple again makes its case against sideloading apps on iPhones in new security research report - https://www.cnet.com/tech/mobile/apple-again-makes-its-case-against-sideloading-apps-on-iphones-in-new-security-research-report/
애플이 새로운 보안 연구 보고서에서 아이폰의 앱 Sideloding에 대한 주장을 다시 한 번 밝혔다.
이 거대 기술 회사는 구글의 안드로이드 소프트웨어에서 앱을 회피할 때 보안상의 오류를 지적한다.
애플은 수년 동안 자사의 아이폰과 아이패드를 삼성 제품을 포함한 구글의 안드로이드 소프트웨어로 구동되는 경쟁 기기보다 더 안전하고 신뢰할 수 있는 것으로 마케팅했다. 주된 이유 중 하나는 아이폰과 아이패드를 위한 앱을 다운받을 수 있는 유일한 방법인 앱스토어 때문이다.
다른 전화기 제조사들도 자체 앱스토어를 가지고 있지만, 사용자들이 기기의 주 앱스토어가 아닌 다른 소스로부터 앱을 찾아 다운로드 받을 수 있는 소위 "sideloading"을 허용하는 경우가 많다. 수요일 애플은 경쟁사 기기에서 공격과 악성코드에 대한 감염이 증가하고 있다는 새로운 연구 논문으로 애플사의 주장을 강화하고 앱스토어에 대한 찬성 및 반대 입장을 표명했다.
수백만 개의 앱을 위한 신뢰할 수 있는 생태계 구축: 시들루딩의 위협 분석이라고 불리는 이 새로운 보고서는 미국 국토안보부와 유럽 상대국을 포함한 전세계 정부들의 보고서를 강조하고 있다. 특히 애플은 안드로이드 기반 기기가 아이폰보다 최대 47배 많은 악성코드를 갖고 있다고 밝혔다.
애플은 백서에서 "iOS 생태계에 대한 보안과 프라이버시를 유지하는 것은 사용자들에게 매우 중요하다"고 밝혔다. "직접 다운로드와 타사 앱 스토어를 통한 부도를 지원하게 되면 아이폰을 그렇게 안전하게 만든 사생활과 보안 보호가 무력화되고 사용자들이 심각한 보안 위험에 노출될 것이다."
종종 "백서"라고 불리는 애플사의 출판된 연구는 아이폰과 아이패드 앱 스토어에 유리하게 그리고 이 장치에 대한 통제적인 접근법이다. 6월에 이 거대 기술 회사는 미국 국회의원들이 애플이 사용자들에게 앱의 부도를 허용하도록 요구할 수 있는 법안을 논의하기 시작했을 때 타이밍에 따라 부도를 반대하는 그들의 주장에 대한 팜플렛 형식의 분석을 발표했다.
포트나이트 제조사 에픽게임즈가 아이폰 제조사가 우리 기기를 너무 많이 통제한다고 주장한 법원에서도 애플은 반대에 직면했다. 결국 에픽은 법정 소송에서 애플이 "시장을 통제하고 경쟁을 막고 혁신을 억누르려는 거물이 됐다"고 주장했다. 에픽은 애플에 대한 소송에서 크게 패소했지만, 애플에 대한 소송은 애플을 상대로 한 소송에서 크게 패소했다.
애플은 올 여름 초와 같은 방식으로 자사의 통제력을 방어하며 우리 휴대전화에 저장된 센서와 개인 데이터를 지적해 해커들의 관심을 끌게 했다. 애플은 수요일의 연구 보고서에서 사람들을 속여 휴대폰의 민감한 부분에 접근하도록 하기 위해 고안된 실제 악성코드에 대한 사례 연구로 이 주장을 추가했다. 안드로이드 기기에서 맬웨어는 보안 업데이트로 위장되어 사용자들에게 부도를 막을 수 있는 보안 설정을 끄도록 했다. 또 다른 예로, 이 악성코드는 인기 있는 소셜 네트워킹 앱인 Clubhouse처럼 보이게 만들어 로그인 정보를 훔쳤다.
애플은 "애플이 직접 다운로드와 타사 앱 스토어를 통한 사이드 도출을 지원하도록 강요받으면 아이폰 사용자들은 사기 행각을 끊임없이 경계해야 하고, 누구를 믿어야 할지 확신할 수 없고, 결과적으로 사용자들은 더 적은 개발자로부터 더 적은 수의 앱을 다운로드 받을 수 있을 것"이라고 말했다.
After anti-monopolists rebutted the security threat argument from tech companies, Apple roars back with a detailed paper on the dangers of Sideloading - Patently Apple - https://www.patentlyapple.com/patently-apple/2021/10/after-anti-monopolists-rebutted-the-security-threat-argument-from-tech-companies-apple-roars-back-with-a-detailed-paper-on-t.html
반독점주의자들이 기술회사들의 보안 위협 주장을 반박하자 애플은 Sideloading의 위험성에 대한 상세한 논문으로 반격한다.
어제 패틀리 애플은 독점금지법안이 소비자 안보를 해친다는 빅테크의 주장을 반박하는 데 도움을 주기 위해 반독점 단체들이 미 하원 지도부에 서한을 보냈다는 제목의 보고서를 올렸다. 오늘날, 애플은 소비자 앱 탈취 허용에 대한 실제 위협을 분석하는 상세한 논문으로 반격했다.
애플은 "아이폰은 사용자들이 가장 민감하고 개인 정보를 저장하는 매우 개인적인 장치"라고 말하면서 그들의 보고서를 시작한다. 이는 iOS 생태계의 보안과 프라이버시를 유지하는 것이 사용자에게 매우 중요하다는 것을 의미한다. 하지만 애플이 직접 다운로드나 타사 앱스토어를 통해 앱스토어 외부 배포를 지원해야 한다는 요구도 나오고 있는데, 이를 '시들로드'라고도 한다. 직접 다운로드와 타사 앱 스토어를 통한 탈출을 지원하면 아이폰의 보안을 강화한 사생활과 보안 보호가 무력화되고 사용자가 심각한 보안 위험에 노출될 수 있다.
애플은 보고서에서 "전 세계 정부 및 국제기관뿐 아니라 보안 전문가, 사이버 보안 제공업체들은 타사 앱 스토어에서 앱을 다운받음으로써 발생하는 위험에 대해 사용자들에게 널리 경고하고 있다"고 덧붙였다.
자세한 내용은 아래에 제시된 애플의 31페이지 분량의 "수백만 개의 앱을 위한 신뢰할 수 있는 생태계 구축" 문서를 참조하십시오.
Building a Trusted Ecosystem for Millions of Apps
A threat analysis of sideloading
October 2021
사이드레이딩은 사이드로딩 or Sideloading 으로 수정하면 더 좋을 것 같습니다.
해당 기사 제목만 수정했습니다. 감사합니다
"And prison is safer than free society because there are far fewer traffic accidents"
맥루머스 기사의 1위 댓글이 이거더군요;; ㅋㅋ...
뭐 일반적으로 더 안전한건 사실이고 뭐 개인의 사용환경과 우선순위를 어디에 두냐의 차이겠죠.
다만 여기에 불공정행위가 성립하는지에 대한 문제가 논의중인 상황이구요...
조리,요리 불가.
오픈앱마켓 법대응 관련 리포트로 보면 되겠군요
피해자가 있으니 계속 만들어지는것 같습니다
스마트폰의 경우 아이폰을 제외한 (지금은 거의 사장된) 다른 OS들도 다 사이드로딩이 되니까 말이 나오는듯 하네요
아 적고보니 댓글 내용이 바뀌었군요 일단 냅두겠습니다
다른 OS가 그렇다고 iOS도 그래야 한다는 법은 없다고 봅니다
다만 비슷한 제품에서 지원하는 기능이 특정제품에서는 지원하지 않는다면 그걸 지원해달라고 요구하는 목소리는 계속 나오니까요
사이드로딩이 되더라도 애플에서 만든 API만 사용이 가능하다면 바뀐 내용처럼 악성앱은 나오기 힘들듯 하네요
애플에서 제공하는 API에서 벗어난 명령어를 쓰려면 탈옥을 통해서 별도의 권한을 획득해야 하니까요
가끔 애플 검수에서 떨어지는 앱들은 애플에서 제공하는 API내에서 개발했지만 그와는 별도로 앱스토어 정책을 어겼으니까 떨어지는거구요
만약 서드파티 스토어가 생긴다면 애플의 앱스토어 정책에는 위배되더라도 공식API만 사용하도록 검수하는 정도로 풀어주지 않을까 싶네요
iOS에도 취약점은 존재하니 그 부분을 이용하는 앱이 돌아다닐 수도 있겠구요.
꼭 불법적인 방식이 아니라도 인터페이스 가이드라인을 어겨서 결제유도를 한다거나...
그밖에 핵 기능이 들어가 트윅된 앱 같은게 유통되더라도 문제가 있죠.
OS 레벨에서의 보안뿐만 아니라 사이드로딩을 막는것도 보안에 공헌하는 점이 크다고 봅니다.
이미 쓰고들 있겠지만, iOS의 이런점이 싫으면 안드로이드라는 훌륭한 대안이 있으니 그거 쓰면 되고요.
+ 앱스토어는 사용자가 개인정보 접근을 허용하지 않더라도 가능한 앱이 정상동작 하도록 가이드라인을 정해놨는데
서드파티 스토어를 허용하면 그런 잇점들도 사라질까 걱정되네요. iOS 헛점을 이용한 앱들이 올라갈 수도 있구요.
개발사 입장에선 혜택 차별을 둬서 사람들이 서드파티 버전을 사용하도록 유도하는건 쉽기도 하고요.
원스토어의 경우도 사용자 정치성향이나 유전정보수준까지 수집할 수 있도록 약관이 바뀌었더군요.
기본값이 설치 불가에요.
설치가 가능하단건 자기가 그걸 허용해줬기때문입니다.
갤럭시기준
설정 -> 생채인식및보안 -> 출처를 알 수 없는 앱 설치 -> 허용해줄 앱별로 이동 -> 허용을 해야합니다.
이후 그 앱에서 APK를 실행해야하고 경고문구에서 확인까지 눌러야하고요.
꽤나 복잡하고 해당 화면에 경고문구까지 있습니다.
이정도면 누구나 볼 수 있고 쉽게 사용가능한 옵션은 아니라고 봅니다만.
해당화면에 '이 출처의 앱을 설치하면 휴대전화와 데이터가 손상될 수 있습니다'라고 허용버튼 바로아래에 박혀있는데 이거까지 보고 허용 눌렀다면 설치하겠다고 강행한건데... 그정도면 사용자 맘대로 하는게 더 맞다고 보는데요.
그리고 '여러가지 이유로 마켓에 등록하지 않고 그냥 인터넷상에 APK만 공개해놓고 설치해서 쓰라는 어플' 이게 문제라면 진심으로 PC는 어떻게 쓰시는지 궁금하네요. 거기는 진짜로 '여러가지 이유로 다양한 경로로 다양한 방법으로 설치파일을 제공하고 사용이 가능"한데 말이죠.
님 말대로라면 그런 APK로 쓰는 앱들은 안쓰면 됩니다. 어지간한 기능들은 전부 마켓에 있는 앱들로 사용이 가능합니다. 아니 사실상 모든 기능을 쓰는데 마켓에 있는것정도로도 다 되요.
님이 말한 케이스는 불법 영상 공유앱들 정도나 너무 영세하거나 할건데,,, IOS는 그런거 사용 시도도 못한거랑 위험을 감수하고 쓸 수 있는거랑은 차이가 있다고 봅니다.
같은 이유라면 iOS를 제외한 윈도우, 리눅스, 맥OS 전부 싫어하시는건가요?
기본값이나 수동허용하는 곳이 복잡한거 크게 의미없죠.
사용자가 일일히 다 찾아가는게 아니라, 권한이나 설정 변경 필수라고 바로 메뉴이동까지 시켜주는 게 널렸는데.
대다수가 가입이나 설치시 약관 안읽고 전체동의 누르듯이, 무슨 의미인지도 모르고 누르는 사람많다고
그걸 사용자탓하는건 아닌듯 싶구요.
게다가 백신접종자에게 문자로 백신관련 공인앱과 동일하게 생긴 피싱앱 설치하라고 url 날린게 뉴스에 나올 정도인데...설치안하면 그만이죠가 아니라 애시당초 피싱앱이 설치될 수 없게 막는게 더 좋은거 아닌가요?
피싱수법도 예전과 달라서 뻔한 수법만 있는게 아니니 자율적 사용은 좋은데. 어느 정도 가이드되는건 필요하죠.
pc던 스마트폰이던 상태 잘 모르고 그냥 쓰는 사람이 대다수니까요.
사실 하드웨어만 보면 Ap제외 중국폰보다 나은 구석이 별로 없어요.
왠만한사람들은 보안+디자인을 보고 사는거겠죠.
저는 더민감한정보가 담기는 폰에서는 최대한 유출이 안되는게 좋다고 생각합니다.
그래서 다른 사이트의 유출 된비밀번호로 애플계정 로그인시
다른 애플기기로 인증을 시도하는데 보안 프로그램을 사용했었다면 그부분에서 막혔겠지요(애초에 디폴드값도 활성화인데....)
폐쇄적이라 통으로 털린다는게 이해가 안되는게 애초에 루트가 거의 없어서 안드로이드보다 훨씬 힘들긴합니다.
부모님폰만해도(갤럭시) 메세지로인한 이상한 어플이깔려있었거든요.
물론 설정으로 디폴드값은 막혀있다지만 설치를 시도하면 바로 풀수있는 팝업이 뜨기때문에 많이들 당하시는거같아요....
https://families.google.com/intl/ko/familylink/
저는 패밀리 링크로 해결했습니다
샌드박싱 잘 되는 OS 라 쓰는건데요.
보통 iOS 유져들은 이런부분에 대해 만족해하며 쓰지만… iOS유져가 아닌 사람들은 iOS의 안드로이드화를 강력하게 원하고 있죠. 그래야 애플과 애플유져들이 장점으로 내세우는 보안을 더이상 들이대지 못할테니까요
저같은 iOS 유저들도 강력하게 원합니다만. 무슨 iOS 유저가 아닌 사람들만, 그것도 iOS를 흠잡으려고 원하는 것처런 적으셨네요. 애플에 경도되어 계신 건 알겠지만 좀 진정하시길.
애초에 원하지 않았다면 탈옥이나 트윅앱, 탈옥 앱스토어까지 나오지 않았겠죠
물론 저는 안쓸생각이지만요.....
그런거에 관심 없는 안드로이드 사용자가 99프로는 될꺼구요. 나머지 1프로가 관심있어도, 애플유저들이 장점으로 내세우거나 말거나 ios를 안드로이드화 하는걸 강력하게 원하지도 않아요.
오늘 저 글 보기 전에 레딧에서 본 기사인데
"애플이 iOS 15.02에서 조용히 제로데이 취약점을 고치고, 버그를 제보해준 제보자를 묵살시키다"
취약점 계속 하나둘씩 나와도 조용히 하고 있다가, 천천히 고치고, 제대로 감사표시도 안하고, 이러다가 버그 제보자들이 암시장에서 버그 팔면 어쩌냐고 우려하고 있습니다.
망할놈의 보안 광고할꺼면 이런것도 신경좀 써라.. 애플..
거기 3항의 예외 조항에 적용시키기 위해서 안간힘을 쓰고 있네요 ㅎㅎ
오픈앱마켓 법안이 통과되면 애플은 연간 10조원정도의 손해를 볼수 있어서 지금 발등에 불떨어졌죠
이거만 없어져도 스캠. 사기등 절반은 날아갈겁니다
피싱문자 이런거 걱정 없어서요.
그냥 지금 형태로 놔두면 좋겠어요.
iOS 가 3rd party 스토어를 수용해야 한다면 iOS 에도 사이드로딩 기능이 생기는거겠죠.
오죽하면 핵미사일을 피하기위해 지하벙커가 존재할까요....
뭐 당연한거를 저렇게 연구하고 어려운 들 읽고 해야하는 건가요? ;;