Home > 전체기사
구글과 삼성 핸드폰의 디폴트 카메라앱, 스파이들을 돕는다
  |  입력 : 2019-11-20 12:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
구글과 삼성 핸드폰에서 비슷한 ‘스파이’ 취약점 발견돼...CVE-2019-2234
익스플로잇 하면 피해자 몰래 여러 가지 추적 행위 펼칠 수 있어


[보안뉴스 문가용 기자] 구글과 삼성의 카메라 앱에서 취약점이 발견됐다. 익스플로잇 할 경우 수천만 명에 대한 감시와 염탐이 가능해진다고 한다.

[이미지 = iclickart]


보안 업체 체크막스(Checkmarx)가 발표한 바에 따르면, “안드로이드 카메라 애플리케이션들을 통해 다양한 스파이 활동을 할 수 있다는 걸 체크막스 내부 연구자들이 발견했다”고 한다. 다양한 스파이 활동이란, 1) 사진 찍기, 2) 영상 기록하기, 3) 사용자의 위치 추적하기, 4) 음성 통화 내용 녹음하기를 포함한다.

공격자들이 이런 활동을 할 수 있는 건, 여러 가지 취약점들 때문이다. 이 취약점들은 하나로 통합해 CVE-2019-2234라는 번호 아래 관리된다. “처음에는 구글의 픽셀(Pixel) 폰을 통해 연구를 시작했습니다. 취약점도 여기서 제일 먼저 발견했고요. 하지만 삼성 스마트폰들의 카메라 앱에서도 같은 문제가 있음을 알게 됐습니다.”

CVE-2019-2234 취약점들을 통해 악성 행위자는 공격 표적이 되는 장비(구글과 삼성의 스마트폰)에 악성 애플리케이션을 심을 수 있다. 그리고 이를 통해 장비 내 설치된 카메라 앱을 장악할 수 있게 된다고 한다. “거기서부터 사용자의 특별한 허가나 동의를 구하지 않고도 염탐 행위를 할 수 있게 됩니다.”

이를 증명하기 위해 체크막스는 가짜 날씨 앱을 하나 만들었다. 이 앱은 설치될 때 저장소에 대한 접근 허용만 사용자에게 요구한다. 카메라 앱의 취약점을 익스플로잇 하고 사용자로부터 저장소에 대한 접근 권한을 받기만 하니, 체크막스의 연구원들은 이 가짜 앱을 통해 카메라 앱을 조정할 수 있게 됐다. 따라서 각종 사진과 영상 기록을 저장하고, 이를 외부 서버로 보내는 것도 가능했다. 위치 추적도 성공했다. “전화기를 침묵 모드로 설정함으로써 사용자가 전혀 알 수 없는 상태에서 이 모든 행위를 할 수 있었습니다.”

실험용으로 만들어진 가짜 날씨 앱은 공격자의 서버와 항시 연결되어 있었다. 이 연결은 사용자가 앱을 중단시켜도 유지됐다. “즉, 공격용 가짜 앱만 잘 만든다면 공격자가 항상 누군가를 염탐할 수 있다는 겁니다.”

스파잉 활동을 위한 악성 앱은 이전에도 있었고, 피해자를 양산한 바 있다. 하지만 그런 앱들은 대부분 사용자들에게 카메라, 마이크, 위치 정보, 저장소에 대한 접근권한을 요청해야만 했다. 의심이 많은 사용자라면 한 번쯤 수상하다고 생각할 법하다는 것이다. 하지만 CVE-2019-2234 취약점들 덕분에 공격자는 의심 받을 일이 줄어든다. “심지어 여기서 문제가 되는 카메라 앱은 구글과 삼성의 장비들에 ‘디폴트로’ 설치되어 있는 겁니다. 피해자가 할 수 있는 일이 그리 많지 않습니다.”

이에 연구원들은 구글에 해당 사실을 알렸다. 7월 초의 일이었다. 구글은 그 달에 즉시 패치를 발표했다고 한다. 삼성 측 역시 패치를 발표했다고 주장했지만, 발표 일자에 대해서는 언급하지 않고 있다. 체크막스가 삼성 장비에서도 비슷한 문제를 발견한 건 8월 29일의 일이다. “두 회사가 다 패치를 했다고는 하는데, 아직 정확히 확인되지는 않고 있습니다.”

이에 체크막스는 해당 취약점에 대한 상세 기술 보고서(https://info.checkmarx.com/hubfs/Reports/Android_Camera_Vulnerability_Report_FINAL_v2_(002).pdf?utm_campaign=Vulnerability%20Report%20191119%20-%20Android%20Camera%20App)와 해킹 시연 영상(https://youtu.be/XJAMJOVoVyw)을 발표했다.

3줄 요약
1. 구글 픽셀에 설치된 카메라 앱에서 스토킹 행위 가능한 취약점 발견됨.
2. 곧이어 삼성의 스마트폰 카메라 앱에서도 같은 취약점 발견됨.
3. 두 회사 모두 패치했다고 주장하고 있으나 패치를 확인하기가 어려운 상태.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/VR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제