구글과 삼성 핸드폰의 디폴트 카메라앱, 스파이들을 돕는다

입력 : 2019-11-20 12:41

구글과 삼성 핸드폰에서 비슷한 ‘스파이’ 취약점 발견돼...CVE-2019-2234
익스플로잇 하면 피해자 몰래 여러 가지 추적 행위 펼칠 수 있어

[보안뉴스 문가용 기자] 구글과 삼성의 카메라 앱에서 취약점이 발견됐다. 익스플로잇 할 경우 수천만 명에 대한 감시와 염탐이 가능해진다고 한다.


보안 업체 체크막스(Checkmarx)가 발표한 바에 따르면, “안드로이드 카메라 애플리케이션들을 통해 다양한 스파이 활동을 할 수 있다는 걸 체크막스 내부 연구자들이 발견했다”고 한다. 다양한 스파이 활동이란, 1) 사진 찍기, 2) 영상 기록하기, 3) 사용자의 위치 추적하기, 4) 음성 통화 내용 녹음하기를 포함한다.

공격자들이 이런 활동을 할 수 있는 건, 여러 가지 취약점들 때문이다. 이 취약점들은 하나로 통합해 CVE-2019-2234라는 번호 아래 관리된다. “처음에는 구글의 픽셀(Pixel) 폰을 통해 연구를 시작했습니다. 취약점도 여기서 제일 먼저 발견했고요. 하지만 삼성 스마트폰들의 카메라 앱에서도 같은 문제가 있음을 알게 됐습니다.”

CVE-2019-2234 취약점들을 통해 악성 행위자는 공격 표적이 되는 장비(구글과 삼성의 스마트폰)에 악성 애플리케이션을 심을 수 있다. 그리고 이를 통해 장비 내 설치된 카메라 앱을 장악할 수 있게 된다고 한다. “거기서부터 사용자의 특별한 허가나 동의를 구하지 않고도 염탐 행위를 할 수 있게 됩니다.”

이를 증명하기 위해 체크막스는 가짜 날씨 앱을 하나 만들었다. 이 앱은 설치될 때 저장소에 대한 접근 허용만 사용자에게 요구한다. 카메라 앱의 취약점을 익스플로잇 하고 사용자로부터 저장소에 대한 접근 권한을 받기만 하니, 체크막스의 연구원들은 이 가짜 앱을 통해 카메라 앱을 조정할 수 있게 됐다. 따라서 각종 사진과 영상 기록을 저장하고, 이를 외부 서버로 보내는 것도 가능했다. 위치 추적도 성공했다. “전화기를 침묵 모드로 설정함으로써 사용자가 전혀 알 수 없는 상태에서 이 모든 행위를 할 수 있었습니다.”

실험용으로 만들어진 가짜 날씨 앱은 공격자의 서버와 항시 연결되어 있었다. 이 연결은 사용자가 앱을 중단시켜도 유지됐다. “즉, 공격용 가짜 앱만 잘 만든다면 공격자가 항상 누군가를 염탐할 수 있다는 겁니다.”

스파잉 활동을 위한 악성 앱은 이전에도 있었고, 피해자를 양산한 바 있다. 하지만 그런 앱들은 대부분 사용자들에게 카메라, 마이크, 위치 정보, 저장소에 대한 접근권한을 요청해야만 했다. 의심이 많은 사용자라면 한 번쯤 수상하다고 생각할 법하다는 것이다. 하지만 CVE-2019-2234 취약점들 덕분에 공격자는 의심 받을 일이 줄어든다. “심지어 여기서 문제가 되는 카메라 앱은 구글과 삼성의 장비들에 ‘디폴트로’ 설치되어 있는 겁니다. 피해자가 할 수 있는 일이 그리 많지 않습니다.”

이에 연구원들은 구글에 해당 사실을 알렸다. 7월 초의 일이었다. 구글은 그 달에 즉시 패치를 발표했다고 한다. 삼성 측 역시 패치를 발표했다고 주장했지만, 발표 일자에 대해서는 언급하지 않고 있다. 체크막스가 삼성 장비에서도 비슷한 문제를 발견한 건 8월 29일의 일이다. “두 회사가 다 패치를 했다고는 하는데, 아직 정확히 확인되지는 않고 있습니다.”

이에 체크막스는 해당 취약점에 대한 상세 기술 보고서(https://info.checkmarx.com/hubfs/Reports/Android_Camera_Vulnerability_Report_FINAL_v2_(002).pdf?utm_campaign=Vulnerability%20Report%20191119%20-%20Android%20Camera%20App)와 해킹 시연 영상(https://youtu.be/XJAMJOVoVyw)을 발표했다.

3줄 요약
1. 구글 픽셀에 설치된 카메라 앱에서 스토킹 행위 가능한 취약점 발견됨.
2. 곧이어 삼성의 스마트폰 카메라 앱에서도 같은 취약점 발견됨.
3. 두 회사 모두 패치했다고 주장하고 있으나 패치를 확인하기가 어려운 상태.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  [2025 개인정보보호 솔루션 리포트] SK...

• 2

  [SKT 해킹 사태] BPF도어 악성코드 변...

• 3

  [2025 ITS 솔루션 리포트] 스마트한 ...

• 4

  “금감원 사칭 메일 주의”... 개인정보 노...

• 5

  [SKT 해킹 사태] 유심 교체 95만명, ...

• 1

  [SKT 해킹 사태] “해킹 피해 범위 더 ...

• 2

  [SKT 해킹 사태][단독] 통신 3사 보안...

• 3

  [RSAC 2025] 다양성과 협업의 향연....

• 4

  [SKT 해킹 사태] 2주 간의 타임라인으로...

• 5

  SK그룹 미국 법인, 랜섬웨어 공격 당해

• 1

  ‘no-reply@accounts.googl...

• 2

  [SKT 해킹 사태] SKT, 초유의 유심정...

• 3

  GA 해킹사고 발생..전산솔루션 해킹이 원인

• 4

  [SKT 해킹 사태] “유심 무상 교체” 키...

• 5

  [SKT 해킹 사태] 국회, 개인정보 유출 ...