Ayaneo's Privacy Issue: Unauthorized SteamID Data Collection

아야네오의 개인정보 문제: 비동의SteamID수집

Overview 소개

- This analysis is based on observed behavior and may be incomplete or inaccurate. -

While developing an independent application intended to replace the official software for AYANEO devices, I observed that AYASpace (the device management software) continuously transmits users' private SteamIDs to an external AYANEO server (api.pc.ayaneo.com) without explicit user consent.
I might be mistaken, or perhaps I am being overly sensitive due to recent security issues like the Coupang incident, but I would like to share what I have personally verified.

- 이 분석은 관측된 동작을 기반으로 하며, 불완전하거나 부정확할 수 있습니다. -

최근 아야네오(AYANEO) 전용 앱 아야스페이스(AYASpace)를 대체할 독립적인 앱을 제작하던 과정에서, AYASpace가 사용자의 명시적 동의 없이 개인 식별 정보인 SteamID를 AYANEO 소유 서버(api.pc.ayaneo.com)로 지속적으로 전송하는 네트워크 동작을 확인하였습니다.
이에 대해 본인이 잘못 알고 있는 것일 수도 있지만, 요즘 쿠팡 사태 등 보안 관련 이슈가 많아 예민하게 반응하는 것일 수도 있기에 확인했던 내용.

Log Data Verification (Unauthorized SteamID Collection) 로그 데이터 확인(SteamID 무단 수집)

Extracts and immediately transmits SteamID3, a unique personal identifier, during AYASpace execution.
Occurs continuously after execution for both existing and newly installed users.
Captured Log: 2025-12-20 20:40:21.796 INFO [ServerService.cpp:363] get url: https://api.pc.ayaneo.com/AYASpace/pcgame/getSteamIdInfo?steamID3=XXXXXXXXX (XXXXXXXXX is the user's unique Steam account number.)
AYASpace log location -> %appdata%\ayaspace\log\main.log

Ayaspace 실행 중 사용자의 고유 식별 정보인 SteamID3를 추출하여 즉시 서버로 전송
이미 사용 중인 유저나, 새로 설치한 유저 모두에게 실행 이후 지속적으로 발생
포착된 로그: 2025-12-20 20:40:21.796 INFO [ServerService.cpp:363] get url: https://api.pc.ayaneo.com/AYASpace/pcgame/getSteamIdInfo?steamID3=XXXXXXXXX (XXXXXXXXX는 사용자의 고유 스팀 계정 번호입니다.)
Ayaspace 의 로그 생성 위치 -> %appdata%\ayaspace\log\main.log

Network Packet Transmission Confirmation 네트워크 패킷 전송 확인

Network packet analysis via Wireshark confirms that AYASpace is maintaining a continuous TLS 1.2 encrypted connection with the api.pc.ayaneo.com server. The packet size is approximately 211 bytes, which strongly supports the evidence that the SteamID collection found in the logs is being transmitted in real-time. Since this is only what is visible on the surface, there are serious concerns about how much more information might be sent behind the scenes.

Analysis filtered through Wireshark shows that a total of 413 packets were transmitted to the server over approximately 3 minutes, starting from the first packet at 19.45 seconds. This represents an abnormal communication frequency of 4 to 5 times every 2 seconds on average. As evidenced by the scroll bar shrinking almost instantly, AYASpace is incessantly broadcasting user data to the server in the background. This goes beyond simple data collection; it has reached a level of unauthorized hogging of device resources and network bandwidth.

와이어샤크(Wireshark)를 통해 확인한 결과, AYASpace 앱은 api.pc.ayaneo.com 서버와 지속적으로 TLS 1.2 암호화 통신을 주고받고 있습니다. 패킷 크기는 약 211바이트로, 앞서 로그 파일에서 발견한 SteamID 수집 정보가 실시간으로 전송되고 있음을 뒷받침 합니다. 겉으로 드러난 로그가 이 정도라면, 보이지 않는 곳에서 얼마나 더 많은 정보가 전송되고 있을지 우려됩니다.

와이어샤크로 필터링하여 분석한 결과, 첫 패킷이 기록된 19.45초부터 종료 시점까지 약 3분간 총 413개의 패킷이 해당 서버로 송출되었습니다. 이는 평균 2초마다 4~5회꼴로 발생하는 비정상적인 통신 빈도입니다. 우측의 스크롤바가 순식간에 작아진 것만 봐도 알 수 있듯이, AYASpace는 백그라운드에서 사용자의 정보를 쉴 새 없이 서버로 쏘아 올리고 있습니다. 이는 단순한 정보 수집을 넘어 기기 자원과 네트워크 대역폭을 무단으로 점유하는 수준입니다.

Deceptive License Agreement Process 기만적인 라이선스 동의 과정

Even in the global installation file (AYASpaceGlobalSetup3.0.0.30.exe),
The license and agreement terms provided during installation are entirely in Chinese.
To fulfill the legal duty of disclosure, the agreement must be provided in the same language as the installation. (English)
Collecting 'unique identifiable information' behind an unreadable agreement lacks procedural and legal legitimacy.
This data is completely unnecessary for improving user experience or statistical purposes.
It is questionable why a personally identifiable SteamID must be collected.

글로벌 설치 파일(AYASpaceGlobalSetup3.0.0.30.exe)임에도
설치 과정에서 제시되는 라이선스 및 동의 내용은 전부 중국어
글로벌 판이며 설치언어와 같은 영어로 제공되어야 고지 의무가 성립
읽을 수 없는 언어로 된 약관 뒤에 숨어 '고유 식별 정보'를 수집하는 것은 절차적, 법적 으로 정당성 성립이 어려워 보임
해당 데이터는 사용 경험 개선이나 통계 목적에 전혀 불필요한 정보
왜 굳이 개인 식별이 가능한 SteamID를 가져가야 하는지 의문

Temporary Workaround 임시 조치 방법

Malfunctions may occur in AYASpace or its sub-features (updates, game libraries, etc.), and you are solely responsible for any issues caused by applying this method.
Run Notepad as Administrator
Open the file: c:\Windows\System32\drivers\etc\hosts
Add "127.0.0.1 api.pc.ayaneo.com" to the bottom line
Save and restart your system
To restore, simply remove the added line and restart your system

AYASapce 자체나 하위 기능인 업데이트, 게임 라이브러리 등 오작동 문제가 발생할 수 있으며 책임은 이 방법을 적용하시는 본인에게 있습니다.
관리자 권한으로 메모장 실행
열기 c:\Windows\System32\drivers\etc\hosts
127.0.0.1 api.pc.ayaneo.com 맨 아래 라인에 추가
저장 후 재부팅
문제가 발생한다면 추가한 라인을 지우고 재부팅 하시면 원상복구

This document is a technical observation report for the purpose of raising issues and verifying facts, and it is not intended to provide any legal judgment or definitive conclusions.

본 문서는 문제 제기 및 사실 확인을 위한 기술적 관찰 보고서이며, 어떠한 법적 판단이나 확정적 결론을 내리기 위한 목적이 아닙니다.

AYANEO's Expected Responses / Explanation AYANEO 예상 답변

“The following expected responses are based on my personal experience communicating with AYANEO over several years and are not official statements from the company. They are my personal interpretation and assumptions.”

예상 답변은 수년간 Ayaneo와 연락하며 주고 받은 개인적 경험에 의해 만들었으며 공식 답변이 아닌 개인의 상상 입니다.

Q1. Purpose of SteamID3 collection
- Expected Response: "For device improvement, statistics, it could be a bug, or other users do not experience this issue."
- Explanation: Collected immediately after first launch via HTTP GET. Logs and packet captures confirm reproducibility. Not a bug. Code path (ServerService.cpp:363) explicitly implements collection.
Q2. Legal basis / License agreement consent
- Expected Response: "It is stated in the license agreement" or "The user has agreed"
- Explanation: International installation package (AYASpaceGlobalSetup3.0.0.30.exe) displays license only in Chinese, preventing users from fully understanding. Legal consent is likely invalid under GDPR and Korean privacy laws.
Q3. Anonymization / Personal data protection
- Expected Response: "Data is safely handled" or "Anonymized"
- Explanation: SteamID3 is included directly in the URL query string, recorded in server logs and analysis systems. HTTPS encryption does not constitute anonymization.
Q4. Bug claim
- Expected Response: "It may be an unintended bug"
- Explanation: Log location and function are clear and reproducible. Occurs on every new installation. Cannot reasonably be considered a bug.
Q5. Evasive response (return suggestion, unreproducible)
- Expected Response: "We cannot reproduce the issue. Return the device for testing."
- Explanation: Claims other users do not experience the issue. Personal investigation logs and packet captures confirm reproducibility. Likely an evasive strategy.
Q6. User options to prevent automatic transmission
- Expected Response: "There is no option to stop automatic transmission"
- Explanation: Automatic collection and transmission are mandatory. No user choice exists.

Q1. SteamID3 수집 목적
- AYANEO 예상 답변: "기기 개선, 통계 목적, 버그일 수 있음, 다른 유저 문제 없음"
- 설명: 설치 직후·즉시 HTTP GET 형식으로 수집되며, 로그와 패킷 캡처로 재현 가능. 버그 주장 불가. 코드 경로(ServerService.cpp:363)에서 명확히 수집 기능 존재.
Q2. 법적 근거 / 약관 동의
- AYANEO 예상 답변: "약관에 명시되어 있음" 또는 "사용자가 동의했음"
- 설명: 국제 설치판(AYASpaceGlobalSetup3.0.0.30.exe) 약관이 중국어만 제공되어 사용자 이해 불가. 법적 동의 효력 미약(GDPR, 한국 개인정보보호법 기준).
Q3. 익명화 여부 / 개인정보 안전성
- AYANEO 예상 답변: "데이터는 안전하게 처리됨" 또는 "익명화됨"
- 설명: SteamID3가 URL 쿼리 스트링에 그대로 포함되어 서버 로그 및 분석 시스템에 기록됨. HTTPS 암호화만 존재, 익명화 불가.
Q4. 버그 주장
- AYANEO 예상 답변: "의도치 않게 발생한 버그일 수 있음"
- 설명: 로그 위치와 함수가 명확하며 재현 가능. 모든 새 설치에서 동일하게 발생. 버그로 보기 어려움.
Q5. 회피성 대응 (반품 권유, 재현 불가)
- AYANEO 예상 답변: "문제를 재현할 수 없음. 반품 후 테스트 권장"
- 설명: 다른 사용자는 동일 문제 보고가 없다는 주장으로 회피. 개인 조사 로그 + 패킷 증거로 사실 확인 가능. 회피 전략 가능성 높음.
Q6. 사용자 선택권
- AYANEO 예상 답변: "자동 전송을 막는 옵션은 없음"
- 설명: 자동 수집 및 전송 강제, 사용자 선택권 부재.

Another Planet # /usr/local/bin/blog --start

Search This Blog