정말 오랜만에 IT(?) 관련글을 적네요.ㅎㅎ
https://www.clien.net/service/board/news/19146235CLIEN
새소게에도 올라왔지만 올도큐브의 iplay 시리즈가 대부분 펌웨어 레벨에 백도어(심각한 맬웨어)가 심어져 있다고 합니다.
제조사에서 빌드된 공식 펌웨어인데 이건 누군가가 넣었다는거고 alldocube 또는 ODM으로 맡긴 회사가 직접 백도어를 심었다고 밖에 볼순 없겠네요.
ODM으로 맡긴 경우라도 최소한의 검증과 보안은 체크 후에 공식 펌웨어로 릴리즈되지 않을까 싶은데 몰랐으면 alldocube가 무능력한 회사이거나 알고도 출시했다면 보안을 방조한 회사가 되겠죠..
알고 판게 된거라면 이 시리즈가 싸게 나올수 있었던 이유같기도 하네요..
이 백도어가 웃긴게 중국어와 중국 시간대를 사용하면 공격 행위가 중단된다고 합니다.
암튼 저는 iplay 50 mini pro 사용중이고 글로벌롬 마지막인 20240517 버전을 제가 사용하고 있었고 검사 돌려봤는데 백도어에 감염되어 있었습니다.
현재 제조사에서 인지한건지 iplay 50 mini pro 모델에 대한 모든 펌웨어가 삭제되었습니다.
이로 인해 GSI 도전 후 실패시 복구할수 있는 파일이 사라져서 복구할수 없는 상황이 되어 다른분들이 새로 도전하시기 껄끄러운 상황이 되었습니다.
(미리 받아 놓으셨다면 관계없지만요)
아래 커맨드를 해 보시는게 백도어 여부를 확인이 가능합니다.
>adb shell dumpsys activity broadcasts > broadcasts.txt
>findstr /i "SystemOptimizeService SystemProtectService" broadcasts.txt
저의 경우 20240517 버전 롬에서는
C:\adb_new>adb shell dumpsys activity broadcasts > broadcasts.txt
C:\adb_new>findstr /i "SystemOptimizeService SystemProtectService" broadcasts.txt
* Sticky action com.action.SystemProtectService:
Intent: act=com.action.SystemProtectService flg=0x10
* Sticky action com.action.SystemOptimizeService:
Intent: act=com.action.SystemOptimizeService flg=0x10
안드로이드 16 GSI 롬 설치 후 돌려봤을떄는
C:\adb_new>adb shell dumpsys activity broadcasts > broadcasts2.txt
C:\adb_new>findstr /i "SystemOptimizeService SystemProtectService" broadcasts2.txt
C:\adb_new>
이렇게 검출되지 않네요.
안드로이드 16 GSI 롬 설치로 해결했습니다.
백도어가 심어져서 그런건지 제조사롬이 최적화가 않되서 그런건진 모르겠는데 오히려 커스텀롬의 체감속도가 더 좋네요.
이어폰을 사용하신다면 Treble Settings -> Audio Settings 에서
use alternative audio pollcy
use alternative way to detect headsets
두개를 사용으로 설정하면 이어폰으로 소리 잘나오네요.
유심은 않넣었는데 안전문자가 오는거 보면 LTE도 동작하지 않을까 싶네요.
이로서 저 백도어 사태 덕분에(?) 안드16의 G99 가장 최신태블릿이 되버렸네요.ㅎㅎㅎ
보안 업데이트도 덤으로 2026년 1월 1일자 최신인거 같네요.
이상 백도어 검출 후 해결한 사용기 입니다.
PS> 게임용으로 es-de 풀셋팅 다 했던 태블릿인데 백도어때문에 어쩔수 없이 밀어린거라..
아래처럼 다시 셋팅해야되는데 언제 셋팅을 다하죠?ㅠㅠ
진짜 열심히 세팅했는데 안타깝게도 백도어 감염사실을 알고 계속 쓸 자신이 없습니다. ㅠㅠ
혹시 안드로이드 16 GSI 롬 설치하는 방법도 간단하게라도 알려주실 수 있을까요?
또한 차에서 사용 중인 안드로이드 올인원 제품도 안드로이드가 탑제된 제품인데 이것도 괜히 불안하네요
검사 방법 1: logcat에서 Keenadu 디버그 로그 확인
검사 방법 2: Keenadu의 Binder IPC 브로드캐스트 확인
검사 방법 3: BADBOX 변종의 Binder 인터페이스 확인
제가 위에 적은건 검사 방법 2입니다.
아래 링크의 댓글중에 검사방법이 자세히 나와있습니다.
AI로 작성하신거 같습니다.
https://www.algumon.com/forum/t/alldocube-%ED%83%9C%EB%B8%94%EB%A6%BF-%EB%A9%80%EC%9B%A8%EC%96%B4-%EC%A3%BC%EC%9D%98%EB%B3%B4/24676/4
감수할 위험이면 그냥 쓸 생각....
"카스퍼스키에 따르면, Keenadu 백도어의 위험성은 매우 높다.
이 악성코드는 기기에 설치된 모든 앱에 감염될 수 있고, 외부 APK 파일에서 아무런 제한 없이 앱을 설치하거나 모든 권한을 부여할 수 있다.
그 결과 기기 내의 사진, 메시지, 은행 계좌 정보, 위치 데이터 등 모든 정보가 탈취될 위험이 있다.
또한 크롬 브라우저의 시크릿 모드에서 입력한 검색 내용까지 모니터링할 수 있다."
그냥 다 허용된다고 보시면 됩니다.ㅠㅠ
https://github.com/phhusson/treble_experimentations/wiki/Generic-System-Image-%28GSI%29-list
여기서 원하시는 롬을 받으시면 됩니다.
물론 안드로이드 16도 여기서 받으실수 있습니다.
제가 설치한 GIS 롬 정보입니다. 시스템 화면 캡쳐해서 올립니다.
제가 참고했던 설치 가이드 링크 드리니 이대로 따라하시면 될거 같습니다.
vbmeta 이미지 올린 후
iplay 50 mini pro 전용 mod 된 vendor 이미지를 먼저 업데이트 하시고
GSI 롬을 올리시면 됩니다.
https://xdaforums.com/t/guide-flashing-gsis-on-alldocube-iplay-50-mini-pro-fix-camera-bug.4643757/
아래와 같은 정보가 탈취된다고 합니다.
"카스퍼스키에 따르면, Keenadu 백도어의 위험성은 매우 높다.
이 악성코드는 기기에 설치된 모든 앱에 감염될 수 있고, 외부 APK 파일에서 아무런 제한 없이 앱을 설치하거나 모든 권한을 부여할 수 있다.
그 결과 기기 내의 사진, 메시지, 은행 계좌 정보, 위치 데이터 등 모든 정보가 탈취될 위험이 있다.
또한 크롬 브라우저의 시크릿 모드에서 입력한 검색 내용까지 모니터링할 수 있다."
이 놈의 태블릿 ㅡㅡ
아깝게 왜 버리나요?
왕복택비만 부담해시면 제가 해드릴수도 있습니다.
쪽지주세요!
검사 방법 1: logcat에서 Keenadu 디버그 로그 확인
검사 방법 2: Keenadu의 Binder IPC 브로드캐스트 확인
검사 방법 3: BADBOX 변종의 Binder 인터페이스 확인
위 3가지 방법 중에 1번과 3번은 아무 메시지가 없고,
2번의 경우 다음과 같은 메시지가 출력되는데 감염된 걸까요?ㅠㅠ
❯ adb shell dumpsys activity broadcasts | grep -i "SystemOptimizeService\|SystemProtectService"
* Sticky action com.action.SystemProtectService:
Intent: act=com.action.SystemProtectService flg=0x10
* Sticky action com.action.SystemOptimizeService:
Intent: act=com.action.SystemOptimizeService flg=0x10
넵 제거랑 똑같이 백도어가 있는걸로 보여집니다. GSI롬 설치하시는게 좋아보입니다.
===============================================
eenadu의 Binder IPC 브로드캐스트 확인
원리
Keenadu의 서버 구성요소(AKServer)는 system_server 프로세스 내에서 실행되며, 클라이언트(AKClient)와 통신하기 위해 보호된 브로드캐스트(Protected Broadcast) 두 개를 사용합니다:
com.action.SystemOptimizeService
com.action.SystemProtectService
이 브로드캐스트 이름은 Android의 정상적인 시스템 서비스에는 존재하지 않습니다.
만약 기기에서 이 브로드캐스트가 감지되면, Keenadu가 활성 상태로 동작 중인 것입니다.
근거: Securelist 원문 — “AKServer sends two protected broadcasts: com.action.SystemOptimizeService and com.action.SystemProtectService.”
================================================
GMS는 구글플레이스토어 유무를 말합니다.
위에 적은 adb 커맨드 실행해보시고 아무것도 않나오면 정상입니다.
https://www.algumon.com/forum/t/alldocube-태블릿-멀웨어-주의보/24676
** 위에 이미 링크 남겨 놓으신걸 못보고 찾아 다녔네요. 덕분에 알게 되어 고맙습니다.
아래 글 보고 해결했습니다
방식은 SP Flash로 그냥 밀었습니다
1. 우선 해결 링크 공유드립니다(누군가에겐 도움이되겠져)
https://gall.dcinside.com/board/view/?id=tabletpc&no=1506753
2. 안드15 롬파일 링크(원본 글 및 링크)
https://4pda.to/forum/index.php?showtopic=1090853&st=2460
https://mega.nz/file/1JNzjQ5J#PHfXhB0P8U8-zyFfpcLm8tVJpTP97aTw25XRsXmsZ94
● 현 단계에서 위험 없음으로 확인된 모델 (안심하고 계속 사용 가능):
iPlay 70 mini Ultra (12+256GB)
iPlay 70 mini Pro (8+128GB/8+256GB)
iPlay 70 Pro (6+256GB, Android 15)
iPlay 70 (4+128GB)
iPlay 70E (8+128GB)
iPlay 70 Max Pro 5G (8+128GB)
Ultra Pad (12+256GB)
iPlay 60 Pad Pro (8+128GB/12+256GB)
iPlay 60 mini Turbo (8+128GB)
iPlay 60 Pro (6+128GB, Android 15)
iPlay 60 mini Pro (8+128GB, Android 15)
iPlay 60 mini (4+64GB)
iPlay 60S (4+128GB)
iPlay 50 mini (4+128GB/4+64GB, Android 13)
● 영향받는 모델 및 시스템 버전 (취약점이 확인된 모델):
iPlay 50 mini Pro (8+256GB/8+128GB, Android 13)
iPlay 60 mini Pro (8+128GB, Android 14)
iPlay 60 Pro (8+128GB, Android 14)
iPlay 70 Pro (6+256GB, Android 14)
● 조치 및 실행 계획
영향받는 모델 및 버전에 대한 조치가 시작되었습니다:
OTA 시스템 업데이트: 업데이트된 펌웨어가 OTA(무선 업데이트) 방식으로 단계적으로 배포되며, 2026년 3월 5일까지 순차 출시 예정입니다. 이 업데이트는 위험 구성 요소를 제거하고 보안 검증 메커니즘을 최적화합니다.
출처 :
https://xdaforums.com/t/february-23-2026-magisk-stable-v30-7-unlock-bootloader-root-pixel-8-pro-husky-stable-firmware.4633839/page-159#post-90466663
롬 정보는 아래와 같습니다.
iPlay50_mini_Pro_V1.0_20260302
버전사이즈 : 1881.09MB
lineageOS GSI 로 시도했었고 아무 에러 없이 플래싱 됐습니다만; boot loop 걸리네요.
stock rom 구해서 다시 밀고 마침 업데이트가 있길래 업데이트 완료하였습니다.
3.1 날짜로 새로 올라온 OTA는 백도어 검사하니 깨끗합니다.
전 이미 안드15로 올려서 일단 쓰다가 초기화할일 생기면 그떄나 올려볼려고 합니다.^^