리투아니아 "중국 스마트폰 검열 포착"? 사실일까? 샤오미 공식 논평

리투아니아 "샤오미 검열 포착"? 사실일까?

 

https://news.v.daum.net/v/k4fqAziP68

리투아니아 "중국 스마트폰 검열 포착..최대한 빨리 버려라"

어제 하루 리투아니아 국가 사이버 보안 센터가 샤오미 폰에서 특정 단어들을 검열하는 사실을 찾았다며 중국 폰을 즉시 다 갖다버리라고했다는 기사로 들썩였는데

오늘 XDA에서 해당 자료에 대한 조사 내용이 올라왔네요

 

https://www.xda-developers.com/xiaomi-secret-blacklist-explained/

Xiaomi's blacklist of phrases sounds scary, but it may not be what it seems

아래 (접는) 글은 위 게시글을 구글 번역한 내용입니다.

 

구글 번역에다 it 용어들까지 있어 읽기 좀 그렇긴 하지만

리투아니아가 검열 내용이라고 말한 MiAdBlacklistConfig는 검열이 아니라 이름 그자체인 광고 블랙리스트인 것으로 보입니다.

게다가 해당 파일은 일부 한경의 Mi Video에만 사용되며 그외엔 사용되지 않는듯.

 

리투아니아와 중국과의 관계도 그렇고 샤오미가 최근 미국의 리스트에서 빠지기 위해 노력한 것 등을 봤을때 해당 파일이 검열 등을 위해 사용된 건 아닐거라 보이긴하는데

만약 검열에 사용되는 것이라면 미국에서 제재가 있을테니 기다려보기로하죠.

 

번역을 보시려면 아래 더 보기를 누르세요

 

Xiaomi의 비밀 문구 블랙리스트는 무섭게 들리지만 보이는 것과 다를 수 있습니다.

중국 스마트폰 제조사들은 지정학적인 이유로 혹독한 조사를 받는 경우가 많은데, 비판을 받은 기업은 화웨이다. 그러나 세계 1위 스마트폰 공급업체가 최근 미국 정부의 " 중국 공산당 군사 회사 " 의 시도에 맞서 싸워야 했기 때문에 Xiaomi와 같은 다른 회사는 그대로 놔두지 않았습니다 . 리투아니아 국가 사이버 보안 센터(Lithuanian National Cyber ​​Security Center)가 시민들에게 회사 제품을 사용하지 말 것을 촉구하면서 회사는 다시 헤드라인으로 떠올랐습니다. 리투아니아 NCSC에 따르면 그 이유는 샤오미 스마트폰에 '검열 기능'이 있기 때문이라고 합니다.

당 NCSC 의 보고서는 샤오 미의 스마트 폰 "제목, 이름, 다양한 종교와 정치 단체의 다른 정보와 사회 운동"의 수를 포함 "MiAdBlacklistConfig"라는 파일을 다운로드했다고 주장합니다. MiAdBlacklistConfig 파일에 449개의 레코드가 있다고 합니다. 또한 보고서에 따르면 "해당 콘텐츠에 목록의 키워드가 포함된 것으로 확인되면 기기에서 해당 콘텐츠를 차단합니다. 이 기능은 정보의 무료 가용성에 잠재적인 위협이 될 수 있다고 생각됩니다." NCSC는 파일이 MIUI Global 12.0.10을 실행하는 Xiaomi Mi 10T에서 발견되었다고 말합니다 .

로이터통신 에 따르면 마지리스 아부케비치(Margiris Abukevicius) 국방부 차관은 “중국산 새 휴대폰을 구입하지 말고 이미 구입한 휴대폰을 가능한 한 빨리 폐기하는 것이 좋다”고 말했다 .

MiAdBlacklistConfig 분석

최신 Xiaomi.eu ROM에서 실행되는 Xiaomi Mi 11 Ultra가 있습니다. Xiaomi.eu는 MIUI의 debloated 버전이지만 여전히 중국 버전의 MIUI를 기반으로 하므로 내 스마트폰에 MiAdBlacklistConfig 파일이 있는지 여부를 감지하는 주요 후보가 될 것이라고 생각했습니다. 조사에서 Mi Video 애플리케이션(Mi Browser는 아님)에서 이 파일을 찾았고 루트 액세스를 통해 파일을 검색했습니다. 파일 에는 종교 및 정치 단체의 이름 이 포함되어 있습니다. 그러나, 그것은 또한 포함 많은 더보다. 보고서는 또한 MiAdBlacklistConfig 파일에서 식별된 449개의 레코드가 있다고 언급했습니다. 제 파일에는 2210개의 레코드가 있으며 대부분은 어떤 종류의 정치 또는 종교 단체와도 관련 이 없습니다 .

파일을 분석한 결과 대부분의 기록이 실제로 섹스, 포르노 및 기타 스마트폰 브랜드와 관련이 있음을 발견했습니다. 티베트, 홍콩 및 기타 종교 단체에 대한 언급이 있지만 CCP 및 "중국"에 대한 언급도 포함되어 있습니다(비교적으로 중국 및 중국 정치인에 대한 언급은 훨씬 적음). 이것이 중국 공산당에 반하는 콘텐츠를 검열하기 위해 존재하는 목록이라면 "중국"에 대한 모든 언급이 온라인에서 검열되지 않을 것이라고 생각할 것입니다. 다음은 파일에서 엄선한 몇 가지 단어와 구문입니다.

• 즈테
• 인피닉스
• 중국
• 트리플 엑스
• 삼성
• 원플러스
• 비디오 다운로드
• 발리우드 노래 다운로드
• 대만연대연맹
• 소니 에릭슨
• 미
• 샤오미 미5
• 미 휴대폰

그것들은 목록에서 선택된 몇 가지 구문이지만 결코 광범위하지는 않습니다. 또한 수많은 포르노 및 섹스 관련 용어가 있으며 대부분의 스마트폰 브랜드가 대표됩니다. 이 경우 흥미롭게 입니다  왜겠습니까 샤오 미는 검열이 온라인으로 자신의 언급이 될 : 검열 목록, 내가 위에 표시 한 것을 마지막 세 항목을주의?

광고 및 Xiaomi가 광고를 처리하는 방법

NCSC가 언급한 것처럼 이 코드는 회사가 유럽 연합에서 판매하는 전화기에서 활성화되지 않습니다. NCSC 보고서에서 가져온 아래 코드 스니펫을 살펴보세요.

연구원들은 이 특정 기능에 대해 다음과 같이 말합니다.

"이 기능을 사용하면 Xiaomi 장치가 전화기에 입력되는 대상 멀티미디어 콘텐츠를 분석할 수 있습니다. 서버에서 수신한 MiAdBlacklist 목록을 기반으로 키워드를 검색합니다. 장치가 콘텐츠에 특정 키워드가 포함되어 있다고 판단하면 장치는 이 콘텐츠의 필터링을 수행하고 사용자는 이를 볼 수 없습니다. [...] 이 기능은 제조업체에서 원격으로 활성화한다는 점을 강조하는 것이 중요합니다. "

Mi Video 앱에서 MiAdBlacklistConfig 파일을 찾은 것을 감안할 때 내 장치에서 APK를 추출하고 직접 분해했습니다. 나는 연구원들이 꽤 큰 실수를 저질렀을 가능성이 있다는 것을 발견했습니다. 위의 코드는 "INativeAd"라는 개체를 필터링합니다. Mi Video 애플리케이션을 분해하면서 INativeAd가 Xiaomi Global Ad Software Development Kit(SDK)의 방법이라는 것을 알았습니다. 방법 자체는 찾을 수 없었지만 방법과 수행할 수 있는 기능에 대한 수많은 참조를 찾았습니다.

위에서 볼 수 있듯이 "INativeAd"는 특별히 광고를 표시하기 위한 것이며 다른 곳에서 참조된 블랙리스트 파일을 찾을 수 없습니다 . INativeAd가 가지고 있는 방법 중 일부는 다음과 같습니다:

• AdOnClickListener
• OnBannerClosedListener
• ImpressionListener
• OnAdCompletedListener
• OnAdRewardedListener
• OnAdDismissedListener

필터가 광고를 필터링하는 데 특별히 사용되는 것은 꽤 분명하다고 생각하고, 필요한 이유도 꽤 뻔하다고 생각합니다. 아래 두 광고를 살펴보십시오. 2019년 4월 Xiaomi Redmi Note 7 Pro에 전시되었습니다.

 

샤오미는 과거 광고 내용에 큰 문제 가 있었습니다  . 실제로 회사는 2019년 에 "저속한" 광고를 제거 하고 사용자에게 표시되지 않도록 약속했습니다 . 저속하고 부적절한 광고가 샤오미 기기를 통해 전달 된다는 보고 가 여전히 가끔 있지만, 예전만큼 큰 문제는 아닙니다. 사실 목록에 있는 항목 중 일부는 해당 컨텍스트에서 볼 때 완전히 의미가 있다고 생각합니다. 목록에서 내가 엄선한 다른 몇 가지를 살펴보십시오.

• 모든 여자들이 결혼 첫날밤에 생각하는 5가지
• 가정 방법으로 임신 확인
• 촬영 - 사진 참조

이 세 가지 모두 매우 구체적입니다. 그래서 이 필터가 때때로 매우 구체적인 광고를 대상으로 했다고 생각합니다 . 그러나 그것은 또한 포괄적인 의미로 꽤 잘 작동합니다. "가장 인기 있는"이라는 단어가 필터에 있습니다. 즉, 위의 광고에 "올 시즌 가장 인기 있는 비디오!"라는 광고가 있음을 의미합니다. 이론적으로 더 이상 표시되지 않습니다.

무슨 일이야?

내 분석에 따르면 내 Xiaomi Mi 11 Ultra와 Xiaomi 11T Pro의 EU ROM에 있는 Mi 브라우저는 모두 이 파일을 참조하지 않습니다. 내 Xiaomi Mi 11 Ultra에서 Mi Video 앱은 이를 참조하지만 광고 필터링에만 사용합니다. 또한 APKMirror에서 사용 가능한 최신 Mi 브라우저 버전을 다운로드했는데 다시 MiAdBlacklistConfig 파일에 대한 참조를 찾지 못했습니다.

향후 검열에 사용할 수 없다는 뜻인가요? 물론 아니오, 하지만 요점은 그것이 현재 검열에 사용되고 있다는 증거를 찾을 수 없다는 것입니다. 아주 명확한 예를 들어, 목록에 "mi"라는 단어가 포함되어 있는 경우 웹 콘텐츠 가 필터링되는 경우 공식 Mi 브라우저에서 Xiaomi 자체 웹사이트를 방문할 수도 없습니다. "AdBlacklist"가 문자 그대로 이름에 있다는 점을 감안할 때 파일의 용도가 매우 명확하다고 생각합니다.

연구원들이 보여준 해독된 데이터 조각 중 하나에서 그들은 Mi Browser 버전 12.4-g를 사용하고 있음을 밝혔습니다. 보고서에 사용된 Xiaomi Mi 10T는 MIUI Global 12.0.10을 기반으로 하며 유럽 경제 지역 빌드를 실행하고 있습니다. MIUI의 EEA 빌드에는 광고가 포함되어 있지 않으며 Mi Video에서와 같이 최신 Mi 브라우저 저장소에서 해당 파일을 찾을 수 없습니다. 그러나 버전 12.4-g에서 MiAdBlacklistConfig에 대한 참조를 찾았지만 파일 자체는 찾지 못했습니다. 확인을 위해 최신 중국어 버전의 Mi Browser도 다운로드했는데 거기에서도 파일을 찾을 수 없습니다. 또한 동일한 복호화된 데이터 조각에서 연구원이 사용한 MIUI 버전은 시작 표에 나열된 것과 실제로 다릅니다. 연구원들이 "V12.0.10.0.QJDEUXM"을 사용했다고 말할 때 "'V12.0.18.0.QJDEUXM"이라고 표시됩니다.

나는 연구원들의 다른 주장 중 일부를 살펴보았고, 특히 하나가 저에게 펄쩍 뛰었습니다.

“연구에 따르면 사용자가 Xiaomi Cloud 서비스를 사용하기로 선택하면 사용자의 휴대전화 번호가 싱가포르에 있는 서버에 등록됩니다. 이것은 암호화된 SMS 메시지를 특별한 전화번호로 보내는 장치에 의해 수행됩니다.”

독자가 이러한 행동을 보인 "연구"에 대해 언급하는 인용은 제공되지 않습니다.

지난 달에 Xiaomi Mi 11 Ultra와 Xiaomi 11T Pro의 두 가지 Xiaomi 스마트폰을 구성했습니다. 이번 달에 국제 SMS 메시지를 보내지 않았는지 이동통신사에 확인했지만 받지 않았습니다. 그러나 두 스마트폰 모두에서 내 Xiaomi Cloud 계정에 로그인했습니다. 나는 연구원들이 Xiaomi Mi 10T가 "암호화된 SMS 메시지를 특별한 전화번호로 보내도록" 하기 위해 무엇을 했는지 모르지만 이번 달에 내가 설정한 장치 중 하나에서는 일어나지 않았습니다.

나는 다른 주장을 완전히 조사하지 않았습니다.

걱정해야합니까?

내가 본 바로는 여기에 걱정할 이유가 별로 없습니다. Xiaomi가 미국의 "중국 공산당 군사 회사" 목록에서 제거를 성공적으로 주장했음을 감안할 때 더 많은 음모론적 주장을 입증할 수 있는 항목이 많지 않습니다. 향후 변경 될 수 있지만 현재 로서는 걱정할 이유가 없습니다 . 연구자들이 어떻게 결론을 내렸는지, 두 개의 Xiaomi 장치에서 내가 할 수 없는 행동을 어떻게 재현했는지 궁금하지 않을 수 없습니다.

내 Mi 11 Ultra가 이제 부풀려진 맞춤형 ROM을 실행하는 것은 사실이지만 테스트를 위해 최신 공식 Xiaomi 앱을 설치했으며 관찰된 동작은 Xiaomi 11T Pro에서 동일하게 유지되었습니다. 또한 Xiaomi.eu ROM으로 전환하기 전에 재고 MIUI 에서 Mi 11 Ultra를 공장 초기화했으며 이동 통신사는 구성했을 때 전송되는 국제 SMS 메시지를 식별해야했습니다. 아일랜드 번호로 문자가 전송되지 않았는지 확인했지만 문자 메시지를 보낸 번호는 모두 인식했습니다.

그 모든 것은 보안과 관련하여 현재 Xiaomi 장치에 문제가 없다고 생각합니다. Xiaomi는 논평을 요청했을 때 Reuters에 다음과 같은 성명을 발표 했습니다.

“Xiaomi는 검색, 전화, 웹 브라우징 또는 타사 통신 소프트웨어 사용과 같은 스마트폰 사용자의 개인 행동을 제한하거나 차단한 적이 없으며 앞으로도 없을 것입니다. Xiaomi는 모든 사용자의 법적 권리를 전적으로 존중하고 보호합니다.”

우리는 보고서에 대한 설명을 위해 리투아니아 NCSC에 연락했으며 회신이 오면 이 기사를 업데이트할 것입니다.