Skip to main content
Podcast Episode - The Philosopher King

Deeplinks Blog

Deeplinks Blog

A person holding a megaphone that another person speaks through

Wartime Is a Bad Time To Mess With the Internet

Like most people, we at EFF are horrified by Russia’s invasion of Ukraine. Also like most people, we are not experts on military strategy or international diplomacy. But we do have some expertise with the internet and civil liberties, which is why we are deeply concerned that governments around the...

Cybersecurity Experts Urge EU Lawmakers to Fix Website Authentication Proposal That Puts Internet Users’ Security and Privacy at Risk

SAN FRANCISCO—Electronic Frontier Foundation (EFF) technologists, along with 36 of the world’s top cybersecurity experts, today urged European lawmakers to reject proposed changes to European Union (EU) regulations for securing electronic payments and other online transactions that will dramatically weaken web security and expose internet users to increased risk of...

multi-colored hands with circuit patterns reach to the sky

Letter to the United Nations to Include Human Rights Safeguards in Proposed Cybercrime Treaty

December 22, 2021H.E. Ms Faouzia Boumaiza MebarkiChairpersonAd Hoc Committee to Elaborate a Comprehensive International Convention on Countering the Use of Information and Communication Technologies for Criminal PurposesYour Excellency,We, the undersigned organizations and academics, work to protect and advance human rights, online and offline. Efforts to address cybercrime are of concern...

전자 프론티어 재단(EFF)은 테크크런치에서 보도한 스토커웨어 앱 네트워크를 미국 연방거래위원회(FTC)가 조사하기를 촉구합니다.

개인적인 메세지, 음성사서함, 인터넷 접속 기록, 암호, 위치정보와 같은 사적 휴대전화 데이터가 전 세계 수십만명의 사람들이 모르는 사이에 소비자 등급의 스파이웨어에 의해 추적당하고 있습니다.미국의 정보통신 매체인 테크크런치(TechCrunch)의 정보보안 분야 편집자인 잭 휘태커(Zack Whittaker)의 보고서에 따르면, 중대한 보안 취약점을 공유하는 소비자 등급 스파이웨어 앱들을 통해 최소 40만명의 사적 데이터를 수집하는 방대한 규모의 스토커웨어 네트워크가 활동중입니다.스토커웨어 앱 네트워크는 무상표(white-label) 안드로이드 스파이웨어 앱들의 집합으로서 존재합니다. 각기 다른 앱 이름과 미국 기업 소유임을 주장하는 동일한 웹사이트를 내세우고 있지만, 테크크런치의 조사에 따르면 실제로는 1Byte라는 베트남 주재 기업에 의해 운영되고 있습니다.동의 없이 사람들을 추적하고 감시하는 기능 때문에 "스토커웨어" 라는 별칭이 붙은 이러한 소비자 등급의 스파이웨어는 목표 기기에 잠깐만이라도 접근할 수 있다면 누구나 쉽게 설치가 가능합니다. 직원들을 감시하거나 자녀를 추적하는 앱으로 홍보되기도 하지만, 헤어진 또는 현재의 연인 및 배우자를 감시하려는 가정폭력 사범에 의해 흔히 사용됩니다. 테크크런치는 어떻게 이것이 앱 개발사와 앱 사용자 모두에 의해 비도덕적으로 악용되는지를 여론에 알리기 위해 스파이웨어 산업을 여러 차례 조사하였습니다.잭 휘태커의 최근 테크크런치 보고서에 의하면 기기 내부 데이터 전체에 원격으로 접근할 수 있는 보안 취약점을 지금까지 총 아홉 개의 정체가 밝혀진 안드로이드 스파이웨어 군단 전체가 공통적으로 가지고 있습니다. 휘태커가 파악한 취약점은 "안전하지 않은 직접 객체 참조(IDOR)"로 알려진 버그들에서 유래하는데, 이는 불충분한 보안 제어로 인해 서버에 있는 파일이나 데이터가 노출되는 흔한 웹 애플리케이션 결함입니다.휘태커는 피해자들이 이러한 사실을 인지하도록 해당 앱 제작자들 및 스파이웨어에 백엔드 기반을 제공하는 기업인 코데로(Codero)에 알리고자 노력했지만 수포로 돌아갔다고 말했습니다. 그는 이렇게 적었습니다. "해당 취약점이 이른 시일 내에 해결될 것 같지 않기 때문에 테크크런치는 앞으로 스파이웨어 앱과 그 운용에 대해서 더 많은 것들을 공개할 것입니다. 만약 안전한 상황에서 스파이웨어 앱을 삭제할 수 있다면, 취약한 기기의 소유자들이 스스로 삭제를 할 수 있도록요."미국 카네기멜론 대학교 소프트웨어 공학 연구소의 보안 취약점 공개 센터인 CERT/CC는 이 문제에 대한 취약점 공지를 게재하였습니다.테크크런치는 취약점과 함께 그 외관과 작동 방식이 사실상 동일한 Copy9, MxSpy, TheTruthSpy, iSpyoo, SecondClone, TheSpyApp, ExactSpy, FoneTracker and GuestSpy 앱을 찾아내었습니다.테크크런치는 기기가 이러한 스파이웨어 앱에 의해 취약해진 경우 이를 감지하고 삭제할 수 있는 방법을 알려주는 안내문을 만들었습니다. 기기의 소유자가 스토커웨어를 삭제하는 경우 그 사실이 스토커웨어를 기기에 심어놓은 사람에게 알려질 수 있으며, 이는 위험한 상황을 초래할 수 있으므로 소유자가 안전 계획을 확실히 세워놓아야 한다고 테크크런치는 경고합니다. 스토커웨어 저항 연합(Coalition Against Stalkerware)을 방문하셔서 안전 계획을 수립하는 데 필요한 참고 사항과 기타 정보들을 확인해보세요.스토커웨어를 막기 위한 캠페인의 주도자 중 하나로서, 전자 프론티어 재단은 1Byte 및 그들의 스토커웨어 앱 네트워크로부터 잠재적 스토킹 피해자와 가정폭력 피해자를 지키기 위해 미국 연방거래위원회(FTC)가 과거 유사한 사건들과 마찬가지로 조사에 착수하기를 촉구합니다. FTC는 작년에 스파이폰(SpyFone)이라는 안드로이드 스토커웨어 앱을 만든 개발사인 서포트 킹(Support King)과 그 CEO인 스콧 저커먼(Scott Zuckerman)을 제재하였습니다. 스토커웨어 기업에 FTC가 최초로 금지 처분을 내린 서포트 킹 사건은, 악의적 스토커웨어 앱에 대항하고 폐쇄시키기 위한 노력으로써 EFF의 사이버보안 디렉터인 에바 갤퍼린(Eva Galperin)과 EFF가 '스토커웨어 저항 연합'을 결성한 지 2년 뒤에 일어났습니다. 그 전에 FTC가 취한 가장 강력한 조치는 레티나-X(Retina-X)라는 기업의 모바일 앱이 '반드시 적법한 목적으로 사용되는지' 확신할 수 있기 전까지 그 앱의 배포를 중단하도록 한 2019년의 법원 합의였습니다. 타인의 통신을 몰래 감시하기 위해 타인의 기기에 숨겨진 스파이웨어를 설치하는 행위는 컴퓨터 사기 및 남용 법률(CFAA), 도청에 관한 법률, 스토킹 방지 법률 등을 비롯한 여러가지 법률을 위반할 수 있습니다.스토커웨어는 그 성질상 디지털 기술을 활용한 오남용에 사용되는 위험한 도구입니다. 보안이 취약한 스토커웨어는 그보다 훨씬 위험한데, 완전히 새로운 종류와 범위의 가해자들에게 앱의 피해자를 노출시키기 때문입니다. 1Byte와 같은 기업은 똑같은 앱을 포장만 바꿔서 언제든 새로운 이름으로 출시할 수 있기 때문에 그들에겐 굳이 스토커웨어를 안전하게 만들 동기가 충분하지 않습니다. 휘태커가 수행한 바와 같은 연구조사는 가해자와 기회주의적 해커들로부터 앱의 피해자를 보호하는데 필수적이지만 여기에는 반드시FTC의 조치가 함께 따라야 합니다.

AlHathloul v. DarkMatter Group

EFF is representing prominent Saudi human rights activist Loujain AlHathloul in a lawsuit against spying software maker DarkMatter Group and three of its former executives for illegally hacking her iPhone to secretly track her communications and whereabouts.AlHathloul is among the victims of an illegal spying program created and run by...

EFF at Open Source 101

EFF is proud to support this year's Open Source 101, hosted by a team at All Things Open! Open Source 101 is a one-day conference with the purpose of educating attendees on topics and technologies considered foundational to open source. The conference will feature six 10-minute keynotes and 35 45-minute...

Copyright is Not a Shortcut Around the Constitution’s Anonymous Speech Protections, EFF Tells Court

Anonymous speech is an important protection for those concerned about political or economic retribution, harassment, or even threats to their lives. The shield that protects those speakers’ anonymity in U.S. court is the First Amendment, and applying the appropriate constitutional test during litigation allows a court to appropriately balance the...

ShmooCon from March 24-26

EFF at ShmooCon 2022

EFF is thrilled to finally be back in-person at ShmooCon 2022! Stop by the EFF booth to chat with some of our team and learn about the latest developments in defending digital freedom for all. You can even pick up a special gift as a token of our thanks...

Apple image with crossed security keys in the center

EFF to Court: Security Research Is a Fair Use

We live in a world increasingly governed by technology. Too often, that technology includes security vulnerabilities that could allow malicious actors access to our most important and private information. That’s why it’s so important that security researchers be allowed to do their work without fear that they might infringe copyright...

Pages

Back to top

JavaScript license information