Home > 전체기사

구글과 삼성 핸드폰의 디폴트 카메라앱, 스파이들을 돕는다

  |  입력 : 2019-11-20 12:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
구글과 삼성 핸드폰에서 비슷한 ‘스파이’ 취약점 발견돼...CVE-2019-2234
익스플로잇 하면 피해자 몰래 여러 가지 추적 행위 펼칠 수 있어


[보안뉴스 문가용 기자] 구글과 삼성의 카메라 앱에서 취약점이 발견됐다. 익스플로잇 할 경우 수천만 명에 대한 감시와 염탐이 가능해진다고 한다.

[이미지 = iclickart]


보안 업체 체크막스(Checkmarx)가 발표한 바에 따르면, “안드로이드 카메라 애플리케이션들을 통해 다양한 스파이 활동을 할 수 있다는 걸 체크막스 내부 연구자들이 발견했다”고 한다. 다양한 스파이 활동이란, 1) 사진 찍기, 2) 영상 기록하기, 3) 사용자의 위치 추적하기, 4) 음성 통화 내용 녹음하기를 포함한다.

공격자들이 이런 활동을 할 수 있는 건, 여러 가지 취약점들 때문이다. 이 취약점들은 하나로 통합해 CVE-2019-2234라는 번호 아래 관리된다. “처음에는 구글의 픽셀(Pixel) 폰을 통해 연구를 시작했습니다. 취약점도 여기서 제일 먼저 발견했고요. 하지만 삼성 스마트폰들의 카메라 앱에서도 같은 문제가 있음을 알게 됐습니다.”

CVE-2019-2234 취약점들을 통해 악성 행위자는 공격 표적이 되는 장비(구글과 삼성의 스마트폰)에 악성 애플리케이션을 심을 수 있다. 그리고 이를 통해 장비 내 설치된 카메라 앱을 장악할 수 있게 된다고 한다. “거기서부터 사용자의 특별한 허가나 동의를 구하지 않고도 염탐 행위를 할 수 있게 됩니다.”

이를 증명하기 위해 체크막스는 가짜 날씨 앱을 하나 만들었다. 이 앱은 설치될 때 저장소에 대한 접근 허용만 사용자에게 요구한다. 카메라 앱의 취약점을 익스플로잇 하고 사용자로부터 저장소에 대한 접근 권한을 받기만 하니, 체크막스의 연구원들은 이 가짜 앱을 통해 카메라 앱을 조정할 수 있게 됐다. 따라서 각종 사진과 영상 기록을 저장하고, 이를 외부 서버로 보내는 것도 가능했다. 위치 추적도 성공했다. “전화기를 침묵 모드로 설정함으로써 사용자가 전혀 알 수 없는 상태에서 이 모든 행위를 할 수 있었습니다.”

실험용으로 만들어진 가짜 날씨 앱은 공격자의 서버와 항시 연결되어 있었다. 이 연결은 사용자가 앱을 중단시켜도 유지됐다. “즉, 공격용 가짜 앱만 잘 만든다면 공격자가 항상 누군가를 염탐할 수 있다는 겁니다.”

스파잉 활동을 위한 악성 앱은 이전에도 있었고, 피해자를 양산한 바 있다. 하지만 그런 앱들은 대부분 사용자들에게 카메라, 마이크, 위치 정보, 저장소에 대한 접근권한을 요청해야만 했다. 의심이 많은 사용자라면 한 번쯤 수상하다고 생각할 법하다는 것이다. 하지만 CVE-2019-2234 취약점들 덕분에 공격자는 의심 받을 일이 줄어든다. “심지어 여기서 문제가 되는 카메라 앱은 구글과 삼성의 장비들에 ‘디폴트로’ 설치되어 있는 겁니다. 피해자가 할 수 있는 일이 그리 많지 않습니다.”

이에 연구원들은 구글에 해당 사실을 알렸다. 7월 초의 일이었다. 구글은 그 달에 즉시 패치를 발표했다고 한다. 삼성 측 역시 패치를 발표했다고 주장했지만, 발표 일자에 대해서는 언급하지 않고 있다. 체크막스가 삼성 장비에서도 비슷한 문제를 발견한 건 8월 29일의 일이다. “두 회사가 다 패치를 했다고는 하는데, 아직 정확히 확인되지는 않고 있습니다.”

이에 체크막스는 해당 취약점에 대한 상세 기술 보고서(https://info.checkmarx.com/hubfs/Reports/Android_Camera_Vulnerability_Report_FINAL_v2_(002).pdf?utm_campaign=Vulnerability%20Report%20191119%20-%20Android%20Camera%20App)와 해킹 시연 영상(https://youtu.be/XJAMJOVoVyw)을 발표했다.

3줄 요약
1. 구글 픽셀에 설치된 카메라 앱에서 스토킹 행위 가능한 취약점 발견됨.
2. 곧이어 삼성의 스마트폰 카메라 앱에서도 같은 취약점 발견됨.
3. 두 회사 모두 패치했다고 주장하고 있으나 패치를 확인하기가 어려운 상태.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협