안드로이드 보안 결함으로 해커가 당신의 휴대폰 카메라를 이용해 스파이할 수 있음

구글의 카메라 앱에서 발견된 보안 허점으로 인해 해커가 휴대폰이 잠겨 있어도 비디오를 녹화하고 사진을 비밀리에 찍을 수 있게 되었다고 Checkmarx의 새로운 보고서에서 밝혔다.

CVE-2019-2234라는 이름의 이 버그는 Checkmarx 보안 연구팀에 의해 발견되었으며, 권한 우회 문제와 관련이 있다고 한다.

안드로이드에서는 서드파티 앱이 설치될 때마다 구글이 앱이 휴대폰의 사진, 비디오, 마이크 및 기본 카메라 앱에 접근할 수 있는 권한을 요청하도록 한다. 그러나 이 결함으로 인해 무단 앱이 장치의 저장소에 접근할 수 있는 권한을 요청하기만 하면 비디오를 녹화하고, 사진을 찍고, 오디오를 녹음하고, GPS 위치를 기록할 수 있게 되었다.

사용자가 앱에 저장소 접근 권한을 부여하면, 이 버그는 사용자 허가나 지식 없이 카메라와 마이크를 활성화시킨다. 특정 공격 시나리오에서는 이 결함이 해커가 장치의 저장소를 제어하고 사진 및 비디오의 EXIF에 저장된 GPS 메타데이터에 접근할 수 있게 한다.

이 결함은 주로 픽셀 장치에서 사용할 수 있는 구글 카메라 앱과 갤럭시 장치에 기본으로 탑재된 삼성 카메라 앱을 대상으로 하도록 트리거되었다.

연구자들은 주장 검증을 위해 구글 픽셀 2 XL과 픽셀 3를 사용하여 “권한 우회 문제에서 발생하는 여러 가지 우려스러운 취약점을 발견했다.”

“[O]ur researchers determined a way to enable a rogue application to force the camera apps to take photos and record video, even if the phone is locked or the screen is turned off. Our researchers could do the same even when a user was is in the middle of a voice call,” 연구원 Erez Yalon이 블로그 포스트에서 썼다.

“구글 카메라 앱에 대한 자세한 분석 후, 우리 팀은 특정 작업과 인텐트를 조작하여 공격자가 권한이 없는 악성 애플리케이션을 통해 앱을 제어하여 사진을 찍거나 비디오를 녹화할 수 있음을 발견했다.

“또한, 특정 공격 시나리오에서는 악의적인 행위자가 다양한 저장소 권한 정책을 우회하여 저장된 비디오와 사진, 그리고 사진에 내장된 GPS 메타데이터에 접근할 수 있게 하여 사진이나 비디오를 찍고 적절한 EXIF 데이터를 파싱하여 사용자의 위치를 파악할 수 있게 한다. 이 동일한 기술은 삼성의 카메라 앱에도 적용되었다.”

구글과 삼성은 Checkmarx에 의해 7월에 안드로이드 결함에 대해 통보받았으며, 그들은 이 문제를 해당 월에 플레이 스토어 업데이트를 통해 수정했다.

“Checkmarx가 이 문제를 우리에게 알려주고 구글 및 안드로이드 파트너와 협력하여 공개를 조정한 것에 감사드립니다. 이 문제는 2019년 7월 구글 카메라 애플리케이션에 대한 플레이 스토어 업데이트를 통해 영향을 받은 구글 장치에서 해결되었습니다. 모든 파트너에게도 패치가 제공되었습니다.”고 구글은 성명에서 밝혔다.

삼성은 잠재적으로 영향을 받을 수 있는 모든 장치 모델에 대한 패치를 발표하며 “우리는 이 문제를 직접 식별하고 해결할 수 있도록 해준 안드로이드 팀과의 파트너십을 소중히 여깁니다.”라고 말했다.

Checkmarx는 이 결함이 구글의 픽셀 휴대폰에만 국한되지 않으며, 다른 안드로이드 스마트폰 브랜드도 여전히 취약할 수 있음을 주목했다.

이 취약성으로부터 자신을 보호하기 위해서는 최신 버전의 안드로이드 운영 체제와 카메라 앱을 실행하는 것이 권장된다. 또한 스마트폰에 설치된 앱을 정기적으로 업데이트하는 것이 좋다.

또한 읽기 - 안드로이드 스마트폰을 위한 최고의 무료 안티바이러스