synowedjat? 백도어에 대해 아시나요?
해외 해놀로지 포럼에서 본 글입니다
제목부터 좀 살벌한데..짧은 영어지식으로 시놀(해놀도 마찬가지)에 자체적으로 시스템 정보를 수집 및 전송하는
synowedjat이라는 (7.2에서는 dlid) 백도어 패키지 같은게 심어져 있다고 하는데요
작성자 말에 의하면 정품여부를 체크해서 불법복제인 경우 로그인 화면을 변경하고 경고를 보낸다거나 하는데 쓰이는거 같습니다
찾아보니 제 nas에도 synowedjat-exec라는 파일이 존재하네요 (DSM 7.1.1 사용중)
좀 보안에 민감하신 분들은 이 패키지가 어떤 정보를 또 수집해가는지 모르고
혹시라도 악의적인 해커에 의해 중간자 공격이 일어난다면 모든 시놀/해놀 사용자들이
정보 노출이나 해킹 위협에 노출되는 게 아닌지때문에 찝찝해하실 분들 있을텐데 (제가 그런편)
해당 글내용에 나온 대응방법 스크립트 같은걸 적용해도 문제 없을지 혹시 고수분들 계시면 조언좀 부탁드립니다
1등
너른호수 2023.05.09. 17:21
대응 방법 스크립트 내용 자체는 apparmor를 통해 해당 바이너리(synowedjat)에 대한 네트워크 통신을 차단하는 내용이라 DSM 작동에 해당 바이너리의 통신이 반드시 필요한 경우가 아니라면 문제는 없을 것으로 보입니다.
해당 바이너리가 생성하고 시놀로지 서버에 보낸다는 json 파일의 내용을 까봐야겠지만 일단은 시놀로지 서비스 데이터 수집에 대한 문서, 개인정보 보호정책 문서에는 여러 목적을 위해 장치 정보를 수집하고 분석한다는 내용이 들어있습니다. 이런 목적과 정의에 부합하는 내용이 수집/전송된다면 이걸 백도어라고 부를 수 있는지는 개인적으로는 약간 의문이 있습니다.
해당 바이너리가 생성하고 시놀로지 서버에 보낸다는 json 파일의 내용을 까봐야겠지만 일단은 시놀로지 서비스 데이터 수집에 대한 문서, 개인정보 보호정책 문서에는 여러 목적을 위해 장치 정보를 수집하고 분석한다는 내용이 들어있습니다. 이런 목적과 정의에 부합하는 내용이 수집/전송된다면 이걸 백도어라고 부를 수 있는지는 개인적으로는 약간 의문이 있습니다.
ExpBox 2023.05.09. 17:41
너른호수
이게 저도 맞다고 보지만 json 파일을 받아보지 않은 이상 단정할 수는 없긴 합니다. 하지만 관련하여 로그인 페이지의 배경을 재설정 하거나 알림 등을 보낼 수 있다고 경고하는걸 보니 또 다른 느낌이 들긴하네요. 저도 정품을 쓰고있지만 어찌되었든 찝찝한 느낌을 지울 수는 없는게 맞는 것 같습니다.
너른호수 2023.05.09. 18:12
ExpBox
정품 미인증된 경우에 배경화면 알림 등 설정하는 건 Windows도 마찬가지니까 그 정도 레벨이면 괜찮지 않나 싶긴 합니다. 커뮤니티에 json 파일을 생성하는 방법이 있어서 한번 생성하고 들여다봐야 겠습니다(암호화되어있으면 알아보기 쉽진 않겠지만요 -ㅂ-)
ExpBox 2023.05.09. 18:47
너른호수
결과 나오면 공유 부탁드립니다 ㅎㅎ..
너른호수
답변감사합니다, 글로벌사업하는 시놀로지가 설마 개인정보보호법 어기고 그런짓까지 하겠느냐 이긴 하지만
타 나스 제조사제품에서도 해커가 노출된 OS취약점을 이용해서 랜섬웨어를 심는 등의 사건도 있다 보니 중간자공격의 가능성이 있지는 않을까 하는 생각이었습니다.
타 나스 제조사제품에서도 해커가 노출된 OS취약점을 이용해서 랜섬웨어를 심는 등의 사건도 있다 보니 중간자공격의 가능성이 있지는 않을까 하는 생각이었습니다.
2등
ExpBox 2023.05.09. 17:31
이런 이슈가 있는지는 몰랐네요. 실제로 로그인 화면을 변경하거나 경고하는지는 모르겠으나 제어판 - 정보 센터 - 장치 분석 여기에서 [장치분석 보내기 활성화] 가 기본적으로 활성화 되어있을 것 같은데(아마 DSM 설치 시 거부했다면 체크 안되어있겠지만요.) 그것과 관련된게 아닐까 싶습니다.
아니면 지원센터를 통해서 DSM에 원격 접속하여 시스템적으로 건드려야할 때 필요한 패키지던가요. 저의 경우 안티바이러스 패키지가 자동으로 업데이트 안되는 문제가 있어 관련하여 문의했었고 그에 따라 해결했던 적이 있거든요. 그것과 관련되어있을 수도 있습니다.
https://xpenology.com/forum/topic/68080-synology-backdoor/?do=findComment&comment=442380
위의 스크립트의 경우에는 크게 문제될 건 없어보입니다. usr.syno.bin.synowedjat-exec 는 네트워크 관련 설정하는 설정파일 인것 같고.. apparmor_add_start.sh는 usr.syno.bin.synowedjat-exec에 있는 네트워크 설정을 실행하는 스크립트인 것 같습니다. apparmor_add.service 는 그걸 서비스에 올리는것이구요.(systemctl로 간단하게 적용하는 느낌)
밑에보니 7.2 RC에서는 패키지명이 변경된다고하니 7.2 업데이트 나오면 그때 새롭게 하시는것도 좋을 것 같네요.
아니면 지원센터를 통해서 DSM에 원격 접속하여 시스템적으로 건드려야할 때 필요한 패키지던가요. 저의 경우 안티바이러스 패키지가 자동으로 업데이트 안되는 문제가 있어 관련하여 문의했었고 그에 따라 해결했던 적이 있거든요. 그것과 관련되어있을 수도 있습니다.
https://xpenology.com/forum/topic/68080-synology-backdoor/?do=findComment&comment=442380
위의 스크립트의 경우에는 크게 문제될 건 없어보입니다. usr.syno.bin.synowedjat-exec 는 네트워크 관련 설정하는 설정파일 인것 같고.. apparmor_add_start.sh는 usr.syno.bin.synowedjat-exec에 있는 네트워크 설정을 실행하는 스크립트인 것 같습니다. apparmor_add.service 는 그걸 서비스에 올리는것이구요.(systemctl로 간단하게 적용하는 느낌)
밑에보니 7.2 RC에서는 패키지명이 변경된다고하니 7.2 업데이트 나오면 그때 새롭게 하시는것도 좋을 것 같네요.
ExpBox
답변감사합니다 한번 날잡아서 확인해보고 적용 해봐야 겠네요
3등
시간이필요해 2023.05.09. 18:03
음 이것을 백도어라고 정의할 수 있는지 의문입니다.
현재 상태를 체크하고 오래된 패키지에 대한 알림을 보내거나, 라이센스를 체크하여 정품 사용 권장 및 기능 제한 등은 일반적인 기능으로 봐야 할 범주 같습니다.
현재 상태를 체크하고 오래된 패키지에 대한 알림을 보내거나, 라이센스를 체크하여 정품 사용 권장 및 기능 제한 등은 일반적인 기능으로 봐야 할 범주 같습니다.
시간이필요해
답변감사합니다, 글로벌사업하는 시놀로지가 설마 개인정보보호법 어기고 그런짓까지 하겠느냐 이긴 하지만
타 나스 제조사제품에서도 해커가 노출된 OS취약점을 이용해서 랜섬웨어를 심는 등의 사건도 있다 보니 중간자공격의 가능성이 있지는 않을까 하는 생각이었습니다.
타 나스 제조사제품에서도 해커가 노출된 OS취약점을 이용해서 랜섬웨어를 심는 등의 사건도 있다 보니 중간자공격의 가능성이 있지는 않을까 하는 생각이었습니다.
hilee0602 2023.05.10. 07:44
migm
개인정보보호법을 위반했는지는 privacy policy & terms of use를 면밀히 봐야 할 듯 싶습니다.
분명 해당 문서에 개인 정보 취합 관련 내용이 있을텐데 무지성으로 "예"를 누르는 경우가 많으니까요.
분명 해당 문서에 개인 정보 취합 관련 내용이 있을텐데 무지성으로 "예"를 누르는 경우가 많으니까요.
cmt alert
신고
"님의 댓글"
이 댓글을 신고하시겠습니까?
