2014년 10월 16일 목요일

악성코드급 사파리 확장 프로그램 'SearchMe' 사파리에서 링크를 클릭했는데 'Top Sites'가 뜬다면...

평소 백투더맥을 통해 앱을 소개해 드릴 때면 포스트 맨 하단에 앱을 다운로드 할 수 있는 링크를 같이 걸어둡니다. 방문객이 해당 링크를 클릭하면 애플 웹사이트 내 마련된 앱 소개 페이지가 열리고, 다시 맥 앱스토어가 실행되는 식으로 작동합니다. 당연히 그게 일반적인 경우입니다.


하지만 간혹 해당 링크가 제대로 작동하지 않는다며 질문을 남기는 분들이 계시더군요. 아무리 링크를 클릭해도 애플 웹사이트는 커녕 항상 사파리의 'Top Sites' 페이지가 열린다는 것이었습니다. 이는 비단 백투더맥뿐만 아니라 다른 웹사이트에 걸린 앱스토어 링크도 마찬가지라고 합니다.


원인이 뭘까 찾아보는 도중에 한 트위터 사용자로부터 결정적인 단서를 얻을 수 있었습니다. 자신도 모르게 설치된 'SearchMe'라는 사파리 확장 프로그램을 지웠더니 블로그에 걸린 링크가 제대로 작동하기 시작했다는 것입니다.


SearchMe?


'SearchMe'라는 사파리 확장 프로그램은 'Spigot'이라는 업체에서 배포하고 있는 일종의 '광고 프로그램'입니다.


어떤 프로그래머가 소프트웨어를 개발하면서 개발 비용을 마련하기 위해 광고 업체와 계약하여 자신의 소프트웨어에 이런 플러그인을 심어두는 것입니다. 계약을 통해 얻은 수입은 프로그래머가 소프트웨어를 개발, 유지 또는 업그레이드를 할 수 있는 동기를 부여하지만, 사용자에게 설치 여부를 제대로 알려주지 않는 경우가 많아 자신도 모르게 설치되는 경우가 태반입니다.


SearchMe가 유용한 확장 프로그램이면 말도 안 합니다. 구글이나 페이스북 검색 결과를 광고업체가 임의로 조작하거나, Top Sites에 업체가 광고하는 사이트를 밀어 넣습니다. 심지어 Top Sites도 사파리 고유의 Top Sites가 아니라 업체가 교묘하게 따라 만든 위조 페이지입니다. 또 이번 경우처럼 정상적인 링크도 무용지물로 만들거나, 사파리의 읽기 도구(Reader)를 제대로 작동하지 않게 하는 등의 기능적의 문제도 유발합니다.


인터넷을 검색해보니 해외에서는 아주 악명을 떨치고 있고, 주로 uTorrentt나 Vuse(이전 이름: Azureus) 같은 토렌트 프로그램에 포함되어 있는 듯합니다. uTorrent 제작사는 공식 포럼 한켠에 SearchMe 삭제 방법 을 올려놨는데 과연 몇 명이나 챙겨볼지 의문입니다.


Vuze는 사용자에게 선택권을 주기는 하지만, 프로그램을 설치할 때 무심코 '빠른 설치'를 선택하면 자신도 모르게 SearchMe가 같이 깔리고 기본 홈페이지도 야후로 교체됩니다. 마치 알집을 설치할 때 아무 버튼이나 무분별하게 누르면 알씨, 알쇼, 알.. 등등이 주루룩 같이 설치되는 것과 비슷합니다.


이뿐만이 아닙니다.


정상적인 소프트웨어라도 공식 홈페이지가 아닌 다운로드 전문 사이트에서 받는 경우 이런 광고 플러그인이 컴퓨터에 같이 설치될 수 있습니다. 미국의 Download.com 이 대표적인 케이스인데요, 프로그램을 내려받을 때 Spigot에서 만든 웹 브라우저 플러그인을 같이 설치한다고 약관에 명시해놨습니다...만 누가 제대로 읽어볼까요. 참고로 비단 사파리뿐만 아니라 구글 크롬과 모질라 파이어폭스에도 플러그인이 설치됩니다.


삭제하세요!


사파리(또는 다른 브라우저)에서 링크를 클릭했는데 Top Sites가 뜬다든가, 구글 검색 결과에 생뚱맞은 사이트가 상단을 차지한다든가, 읽기도구 등을 비롯해 사파리 일부 기능이 제대로 동작하지 않는다면 SearchMe를 비롯하여 정체 불명의 확장 프로그램이 설치되어 있지 않은지 가장 먼저 확인해보세요. 만약 이런 확장 프로그램이 있으면 주저하지 마시고 바로 삭제하세요.


겉으로는 합법의 형식을 띄고 있지만, 하는 짓은 '악성코드'나 다를 바 없습니다.






참조

Apple Support Forum - how do I get rid of Malware/Spyware?

uTorrent - Removing Partner Offers


관련 글

애플, 맥을 대상으로 하는 악성코드 'iWorm'에 대한 보안 업데이트 실시

맥용 안티바이러스 제품 18종 벤치마크 테스트 결과

맥이 바이러스에 걸렸다? 맥에서 네이버 또는 다음에 접속했는데 금융감독원 팝업창이 뜬다면...

맥으로 비트코인 채굴하는 사용자 겨냥한 신종 트로이목마 등장



저작자 표시 비영리 변경 금지





from Back to the Mac http://ift.tt/1uaDwrU

via IFTTT