2018년 macOS Mojave 초창기에는 Apple이 사용자에게 자동으로 다크 및 라이트 모드로 전환하는 방법 로 전환했습니다. 언제나 그렇듯이 서드파티 개발자들이 이 문제를 해결하고자 했습니다. 이 문제를 해결하기 위해 가장 잘 알려진 야간 모드 앱 중 하나는 2018년 중반에 처음 출시된 NightOwl로, 일상적인 사용 중에 백그라운드에서 실행할 수 있는 간단한 유틸리티가 포함된 작은 앱입니다.
2021년에 “야간 근무” 다크 모드를 활성화하는 더 많은 공식 macOS 기능이 추가되면서, NightOwl 앱은 많은 구형 Mac에서 잊혀진 채로 방치되었습니다. 수만 명으로 추정되는 사용자 중 구형 M의 백그라운드에서 실행되던 앱이 사라진 것을 눈치챈 사람은 거의 없을 것입니다.acs가 다른 회사에 인수되었을 때나 올해 초에 그 회사가 다크 모드 앱을 조용히 업데이트하여 컴퓨터를 탈취하여 영향을 받은 컴퓨터의 서버 네트워크(일명 봇넷)를 통해 IP 데이터를 전송했을 때 이를 알아차린 사용자는 거의 없었습니다.
일부 사용자가 앱의 문제를 지적한 후 6월 업데이트 이후, 웹 개발자 테일러 로빈슨이 발견 이 프로그램이 사용자의 컴퓨터의 연결을 리디렉션했기 때문에 문제가 심각했습니다. 진짜 다크 모드는 훌륭한 Mac 앱이 데이터 수집가의 놀이터로 변질된 것으로 밝혀졌습니다.
로빈슨은 기즈모도와의 이메일에서 이 앱에 대한 자체 조사를 자세히 설명했습니다. 그들은 NightOwl이 사용자의 컴퓨터를 제3자에게 판매되는 데이터를 위한 일종의 봇넷 에이전트로 전환하는 런처를 설치한다는 사실을 발견했습니다. 6월 13일에 업데이트된 0.4.5.4 버전의 NightOwl은 사용자가 직접 알지 못하거나 동의하지 않아도 로컬 HTTP 프록시를 실행한다고 합니다.. NightOwl이 사용자에게 무언가가 진행 중이라는 유일한 힌트는 다음과 같은 동의 알림입니다. 다운로드 버튼을 누른 후 앱이 앱은 익명화된 추적 및 버그를 위해 Google 애널리틱스를 사용합니다. 봇넷 설정은 앱을 통해 비활성화할 수 없으며, Mac에서 수정한 내용을 제거하려면 사용자는 Mac 터미널 앱 을 사용하여 시스템에서 코드의 흔적을 제거했다고 로빈슨은 말합니다.
현재 얼마나 많은 사용자가 악성 코드로 보이는 코드의 영향을 받았는지는 불분명합니다. 웹 사이트와 앱 스토어에서 사용할 수 없게 되었기 때문에 얼마나 많은 사용자가 영향을 받았는지는 확실하지 않습니다. NightOwl 사이트에서는 이 앱이 141,000회 이상 다운로드되었으며, 27,000명 이상의 활성 사용자가 있었다고 주장합니다. Apple이 새로운 다크 모드 소프트웨어를 설치 한 후 앱 사용자가 대부분 손실되었더라도 잠재적으로 수천 명의 사용자가 잠재적으로 수천 명에 달할 수 있습니다.
로빈슨이 이 앱이 파괴적인 멀웨어라는 보고서를 발표한 지 며칠 후, 나이트올빼미는 다음과 같은 코멘트를 포함했습니다. 사이트 읽기: “저희 앱에는 어떠한 형태의 멀웨어도 포함되어 있지 않습니다. 제기된 우려는 잘못된 식별에 따른 것으로, 당사는 모든 주요 바이러스 백신 회사와 적극적으로 협력하여 이 상황을 신속히 해결하고 있습니다.”
“모든 주요 백신 회사”가 무엇을 의미하는지, 그리고 어떻게 변경할 계획인지는 명확하지 않습니다. 앱을 어떻게 변경할 계획인지 명확하지 않습니다. 로빈슨은 봇넷 연결이 Mac의 기본 사용자 계정에서 강제로 실행되고 사용자가 기기를 부팅할 때 실행되기 때문에 이 앱이 익명을 유지하기 위해 만들어진 것으로 보인다고 말했습니다. 웹 개발자는 이상한 트래픽을 처음 발견했습니다. 네트워크 트래픽을 분석하던 중 이상한 트래픽을 처음 발견했습니다. 그 트래픽은 모두 컴퓨터에서 전에 들어본 적 없는 사이트로 연결되었습니다. 물론, 다른 명백한 봇넷 수법도 있습니다. 광고 수익을 노릴 수도 있습니다.사용자 데이터를 판매하는 것이 일반적인 관행이지만, 대부분의 앱은 사용자가 기기를 열 때마다 부팅하는 소프트웨어를 강제로 설치할 필요가 없습니다.
하지만 이 봇넷 동작을 포함할 계획이 있었던 것은 분명합니다. 메모를 남겼습니다. 메모를 나이트올빼미의 이용 약관 페이지에 추가한 후 멀웨어와 유사한 활동이 포함된 최신 업데이트를 출시했습니다. 기즈모도는 NightOwl 앱 소유자에게 여러 차례 연락을 취했지만 응답을 받지 못했습니다. 그러나 현재 앱을 소유하고 있는 그룹은 다음과 같이 답변했습니다. HowtoGeek라고 말합니다:
“우리는 존경받는 주거용 프록시 서비스와 제휴하여 NightOwl로 수익을 창출했습니다. 우리는 파트너의 사용자가 NightOwl 사용자의 IP 주소를 통해 일부 요청을 보낼 수 있도록 앱의 백엔드에 파트너의 SDK를 추가했습니다. 당사는 사용자의 IP 주소만 수집한다는 점에 유의하시기 바랍니다. 다른 사용자 데이터는 수집하지 않습니다. 당사는 이 사실을 이용약관에 공개했습니다.
일부 사용자들의 높은 우려를 감안하여 사용자에게 이를 거부할 수 있는 옵션을 제공하기 위해 노력하고 있습니다. 앱을 다시 출시할 수 있게 되면 이 SDK를 완전히 제거하거나 쉽게 비활성화할 수 있는 옵션을 제공하겠습니다. 불편과 우려를 끼쳐 드려 죄송합니다.”
로빈슨은 기즈모도와의 인터뷰에서 다음과 같이 말했습니다. 이 봇넷을 통해 IP 이상의 정보를 수집했다는 것을 보여주는 것은 없다고 말했습니다. 하지만 앱 소유자는 여전히 “가능한 한” 자신의 흔적을 감추려고 노력하고 있다고 로빈슨은 말했습니다. 로빈슨에 따르면 앱 소유자는 백그라운드 봇넷 서비스의 이름을 “자동 업데이트”라고 지었고, 나이트아울이 설치된 컴퓨터가 부팅될 때마다 리디렉션 소프트웨어가 실행되었습니다.
로빈슨에 따르면 이 앱은 사용자에게 자동 업데이트를 통해 컴퓨터를 자신의 데이터를 위한 샘으로 바꾸었다는 사실을 알리지 않았다고 합니다.. 5년 된 앱에 변경된 유일한 힌트는 NightOwl의 사용 약관에 추가된 언어뿐이었습니다. 페이지 6월에 업데이트되었습니다. TOS에 따르면 앱이 앱이 사용자의 컴퓨터를 제3자와 인터넷 트래픽을 공유하는 “게이트웨이”가 되도록 강제한다고 합니다. 또한 TOS 페이지에 따르면 이 앱은 기기의 네트워크 설정을 수정하며, 기기는 “웹 및 시장 조사, SEO, 브랜드 보호, 콘텐츠 전송, 사이버 보안 등을 전문으로 하는 회사를 포함한 NightOwl 앱의 클라이언트를 위한 게이트웨이 역할을 한다”고 설명합니다.
앱의 서명 인증서, Apple 앱 스토어에서 사용할 수 있도록 하는 데 필요합니다, 가 취소되었습니다.로 취소되어 사용자가 더 이상 액세스할 수 없습니다. 취소한 주체가 회사인지 앱 개발자인지 확인하기 위해 Apple에 문의했지만 답변을 받지 못했습니다.
Mac에 NightOwl 앱이 설치되어 있다면 즉시 삭제해야 합니다. Robinson’s 블로그 면세에 필요한 터미널 명령에 대해 자세히 설명합니다. 앱을 삭제하는 데 필요한 터미널 명령을 자세히 설명합니다.
NightOwl이 인수된 후 트로이 목마로 변했습니다.
오리지널 NightOwl 앱은 2018년에 독일 개발자 벤자민 크램저가 만들었습니다. 그가 직접 설명한 대로 사이트Kramser는 macOS Mojave의 다크 모드에 “사용성 문제”가 있었기 때문에 NightOwl을 만들었습니다. 이후 출시 후, 그는 자신의 앱을 칭찬하는 여러 긍정적인 기사와 YouTube 동영상을 즐겼습니다.
2020년 말에 출시된 0.3.0 버전의 NightOwl은 Kramser가 메인 개발자로 참여했습니다. 2년 후, 0.3.0의 새로운 버전이 App Store에 출시되었습니다. 로빈슨이 공유한 데이터에 따르면, 이 새 버전의 앱은 다른 개인인 무니르 아흐메드가 서명했습니다. 이 버전의 앱에는 새로운 백엔드 SDK가 추가되었지만 로빈슨이 나중에 지적한 봇넷은 여전히 존재하지 않았습니다.
2022년 11월, 공개적으로 등록된 회사는 TPE.FYI LLC 가 이 앱을 인수했다고 크램저가 자신의 사이트에 게시한 메시지를 통해 밝혔습니다. 키핑 템포는 상장했습니다. 에 따르면 기존 기록, 전직 세일즈 소프트웨어 개발자 몇 명이 설립한 회사로, 앱을 개발하여 티켓 마스터와 같은 티켓 가격 독점 기업이 음악 산업에 가지고 있는. 키핑 템포는 CEO 자로드 스털링이 이끌었으며 텍사스 주 오스틴에 본사를 두고 있었습니다. 그러나 이 LLC에 대한 최신 정보에 따르면 올해 초 프랜차이즈 세금 신고서를 제출하지 않은 후 비활성 상태가 되었다고 합니다. 공개적으로 사용 가능한 데이터 에 공개되어 있습니다.
Keeping Tempo가 완전히 사라졌는지 여부와 어떤 기업에서 사용 중인지 불분명합니다. 가 현재 그 이름으로 운영되고 있는지는 확실하지 않습니다. 사용자 검색 로빈슨이 문서화한 봇넷을 구축한 6월 NightOwl 업데이트의 일부로 파일에 “TPE-FYI, LLC”라는 이름이 포함되었습니다.. 새로운 소유주에도 불구하고 Nightowl 사이트에는 여전히 앱 개발에 대한 Kramser의 인용문과 NightOwl의 기능을 칭찬하는 2018년에 작성된 기사 링크가 포함되어 있습니다.
한 나이트올빼미 사용자가 자신의 봇넷 활동에 대해 크램서에게 질문했습니다. 트위터 앱이 삭제되기 전입니다. 개발자는 앱의 변경 사항에 대해 전혀 알지 못한다고 말하며 소유 회사에 NightOwl의 활동에 대해 문의할 계획이라고 덧붙였습니다. 기즈모도는 트위터 DM을 통해 크램서에게 연락했고, 개발자는 자신의 웹사이트에 게시한 것과 동일한 내용을 반복했습니다. 그는 자신의 웹사이트를 통해 작년에 “시간 제약으로 인해” 앱을 계속 운영하기 위해 회사를 매각했다고 주장했습니다. 그는 현재 나이트올빼미 앱의 소유주가 누구인지에 대한 기즈모도의 질문에 답하지 않았습니다.
“이번 결정은 새로운 (프로) 기능과 구독 모델이 도입될 것이라는 점을 이해하고 내린 결정입니다.”라고 크램저는 말했습니다. “안타깝게도 ‘TPE.FYI LLC’는 타사 SDK를 통합하여 앱에서 수익을 창출하기로 결정했습니다. 이 결정은 어떤 방식으로든 저와 관련이 없으며, 어떤 형태로든 이를 지지하지 않습니다.”
로빈슨은 크램저가 인수 회사의 악의적인 의도를 전혀 몰랐다고 하더라도 앱 인수에 대해 회의적일 만한 충분한 이유가 있다고 말했습니다.
“수상한 회사가 애플리케이션 인수를 제안할 때 투자금을 회수하기 위해 전적으로 사용자에게 긍정적인 방법을 사용하지는 않을 것이라는 점을 알아야 하지만, 소셜 미디어의 일부 사람들이 말하는 것처럼 그를 악당으로 만들 수는 없습니다.”라고 인터넷 탐정은 말했습니다.
오래된 앱은 어떻게 손상되나요?
신뢰할 수 있어 보이는 앱이 이미 사용자의 컴퓨터에 설치된 후 트로이 목마로 작동한 것은 이번이 처음이 아닙니다. 어느 해로 거슬러 올라가도 소비자의 신뢰를 악용하는 합법적으로 보이는 앱을 찾을 수 있습니다. 2013년에 인기를 끌었던 가장 밝은 손전등 앱 이 연방거래위원회로부터 소송을 당한 후 사용자의 위치 데이터와 기기 정보를 제3자에게 전송한 혐의로 소송을 당했습니다.. 결국 개발자는 공개되지 않은 금액으로 FTC와 합의했습니다.
소프트웨어 개발자가 세련된 브라우저 확장 프로그램 앱 구매 후 사용자의 모든 웹사이트 방문 기록 시작 에 의해 2017년에 인수되었습니다. 또 다른 확장, 위대한 서스펜더가 악성코드로 플래그가 지정된 후 알 수 없는 그룹에 판매된 후 에 매각되었습니다. 이 모든 앱은 수백만 명의 사용자를 보유하고 있었습니다. 침입의 징후를 인식하기 전에 수백만 명의 사용자를 확보했습니다. 이러한 경우, 새로운 앱 소유자의 음흉한 노력은 모두 더 침입적인 버전의 수집을 지원하기 위한 것이었습니다. 데이터를 제삼자에게 판매할 수 있습니다.
앱 개발은 어렵고 비용이 많이 들기 때문에 개인 제작자에게는 기회가 왔을 때 판매하고 싶은 유혹이 있습니다. 로빈슨은 자신도 무료로 앱을 개발해본 적이 있으며, 비용이 얼마나 많이 드는지 경험했다고 말합니다.
“손에서 그 짐을 덜어줄 사람에게 판매할 수 있는데 왜 아무것도 얻지 못하는 일에 시간을 투자하겠습니까?” 로빈슨이 말했습니다. “일부 개발자의 재정 상황은 잘 모르겠지만, 매달 임대료를 내기 위해 고군분투하고 있는데 한 달에 5천만 원을 제안받는다면 돈을 받고 도덕성을 조금 희생하게 될 것입니다.”