구글과 삼성 핸드폰의 디폴트 카메라앱, 스파이들을 돕는다

입력 : 2019-11-20 12:41

구글과 삼성 핸드폰에서 비슷한 ‘스파이’ 취약점 발견돼...CVE-2019-2234
익스플로잇 하면 피해자 몰래 여러 가지 추적 행위 펼칠 수 있어

[보안뉴스 문가용 기자] 구글과 삼성의 카메라 앱에서 취약점이 발견됐다. 익스플로잇 할 경우 수천만 명에 대한 감시와 염탐이 가능해진다고 한다.


보안 업체 체크막스(Checkmarx)가 발표한 바에 따르면, “안드로이드 카메라 애플리케이션들을 통해 다양한 스파이 활동을 할 수 있다는 걸 체크막스 내부 연구자들이 발견했다”고 한다. 다양한 스파이 활동이란, 1) 사진 찍기, 2) 영상 기록하기, 3) 사용자의 위치 추적하기, 4) 음성 통화 내용 녹음하기를 포함한다.

공격자들이 이런 활동을 할 수 있는 건, 여러 가지 취약점들 때문이다. 이 취약점들은 하나로 통합해 CVE-2019-2234라는 번호 아래 관리된다. “처음에는 구글의 픽셀(Pixel) 폰을 통해 연구를 시작했습니다. 취약점도 여기서 제일 먼저 발견했고요. 하지만 삼성 스마트폰들의 카메라 앱에서도 같은 문제가 있음을 알게 됐습니다.”

CVE-2019-2234 취약점들을 통해 악성 행위자는 공격 표적이 되는 장비(구글과 삼성의 스마트폰)에 악성 애플리케이션을 심을 수 있다. 그리고 이를 통해 장비 내 설치된 카메라 앱을 장악할 수 있게 된다고 한다. “거기서부터 사용자의 특별한 허가나 동의를 구하지 않고도 염탐 행위를 할 수 있게 됩니다.”

이를 증명하기 위해 체크막스는 가짜 날씨 앱을 하나 만들었다. 이 앱은 설치될 때 저장소에 대한 접근 허용만 사용자에게 요구한다. 카메라 앱의 취약점을 익스플로잇 하고 사용자로부터 저장소에 대한 접근 권한을 받기만 하니, 체크막스의 연구원들은 이 가짜 앱을 통해 카메라 앱을 조정할 수 있게 됐다. 따라서 각종 사진과 영상 기록을 저장하고, 이를 외부 서버로 보내는 것도 가능했다. 위치 추적도 성공했다. “전화기를 침묵 모드로 설정함으로써 사용자가 전혀 알 수 없는 상태에서 이 모든 행위를 할 수 있었습니다.”

실험용으로 만들어진 가짜 날씨 앱은 공격자의 서버와 항시 연결되어 있었다. 이 연결은 사용자가 앱을 중단시켜도 유지됐다. “즉, 공격용 가짜 앱만 잘 만든다면 공격자가 항상 누군가를 염탐할 수 있다는 겁니다.”

스파잉 활동을 위한 악성 앱은 이전에도 있었고, 피해자를 양산한 바 있다. 하지만 그런 앱들은 대부분 사용자들에게 카메라, 마이크, 위치 정보, 저장소에 대한 접근권한을 요청해야만 했다. 의심이 많은 사용자라면 한 번쯤 수상하다고 생각할 법하다는 것이다. 하지만 CVE-2019-2234 취약점들 덕분에 공격자는 의심 받을 일이 줄어든다. “심지어 여기서 문제가 되는 카메라 앱은 구글과 삼성의 장비들에 ‘디폴트로’ 설치되어 있는 겁니다. 피해자가 할 수 있는 일이 그리 많지 않습니다.”

이에 연구원들은 구글에 해당 사실을 알렸다. 7월 초의 일이었다. 구글은 그 달에 즉시 패치를 발표했다고 한다. 삼성 측 역시 패치를 발표했다고 주장했지만, 발표 일자에 대해서는 언급하지 않고 있다. 체크막스가 삼성 장비에서도 비슷한 문제를 발견한 건 8월 29일의 일이다. “두 회사가 다 패치를 했다고는 하는데, 아직 정확히 확인되지는 않고 있습니다.”

이에 체크막스는 해당 취약점에 대한 상세 기술 보고서(https://info.checkmarx.com/hubfs/Reports/Android_Camera_Vulnerability_Report_FINAL_v2_(002).pdf?utm_campaign=Vulnerability%20Report%20191119%20-%20Android%20Camera%20App)와 해킹 시연 영상(https://youtu.be/XJAMJOVoVyw)을 발표했다.

3줄 요약
1. 구글 픽셀에 설치된 카메라 앱에서 스토킹 행위 가능한 취약점 발견됨.
2. 곧이어 삼성의 스마트폰 카메라 앱에서도 같은 취약점 발견됨.
3. 두 회사 모두 패치했다고 주장하고 있으나 패치를 확인하기가 어려운 상태.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  제로트러스트 도입·확산 시범사업, 어떻게 진...

• 3

  ‘2024년도 ICT 중소기업 정보보호 지원...

• 4

  웹3 게임 개발자들, 암호화폐 노리는 피싱 ...

• 5

  이반티 보안 취약점 악용한 5개 공격그룹 ...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 5

  리멤버, 회사 사칭 ‘계정에 대한 탈퇴 요청...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...