posted by 알짜 정보 岳岩 2019. 12. 2. 07:50

구글과 삼성 핸드폰에서 비슷한 ‘스파이’ 취약점 발견돼...CVE-2019-2234
익스플로잇 하면 피해자 몰래 여러 가지 추적 행위 펼칠 수 있어


[보안뉴스 문가용 기자] 구글과 삼성의 카메라 앱에서 취약점이 발견됐다. 익스플로잇 할 경우 수천만 명에 대한 감시와 염탐이 가능해진다고 한다.

[이미지 = iclickart]


보안 업체 체크막스(Checkmarx)가 발표한 바에 따르면, “안드로이드 카메라 애플리케이션들을 통해 다양한 스파이 활동을 할 수 있다는 걸 체크막스 내부 연구자들이 발견했다”고 한다. 다양한 스파이 활동이란, 1) 사진 찍기, 2) 영상 기록하기, 3) 사용자의 위치 추적하기, 4) 음성 통화 내용 녹음하기를 포함한다.

공격자들이 이런 활동을 할 수 있는 건, 여러 가지 취약점들 때문이다. 이 취약점들은 하나로 통합해 CVE-2019-2234라는 번호 아래 관리된다. “처음에는 구글의 픽셀(Pixel) 폰을 통해 연구를 시작했습니다. 취약점도 여기서 제일 먼저 발견했고요. 하지만 삼성 스마트폰들의 카메라 앱에서도 같은 문제가 있음을 알게 됐습니다.”

CVE-2019-2234 취약점들을 통해 악성 행위자는 공격 표적이 되는 장비(구글과 삼성의 스마트폰)에 악성 애플리케이션을 심을 수 있다. 그리고 이를 통해 장비 내 설치된 카메라 앱을 장악할 수 있게 된다고 한다. “거기서부터 사용자의 특별한 허가나 동의를 구하지 않고도 염탐 행위를 할 수 있게 됩니다.”

이를 증명하기 위해 체크막스는 가짜 날씨 앱을 하나 만들었다. 이 앱은 설치될 때 저장소에 대한 접근 허용만 사용자에게 요구한다. 카메라 앱의 취약점을 익스플로잇 하고 사용자로부터 저장소에 대한 접근 권한을 받기만 하니, 체크막스의 연구원들은 이 가짜 앱을 통해 카메라 앱을 조정할 수 있게 됐다. 따라서 각종 사진과 영상 기록을 저장하고, 이를 외부 서버로 보내는 것도 가능했다. 위치 추적도 성공했다. “전화기를 침묵 모드로 설정함으로써 사용자가 전혀 알 수 없는 상태에서 이 모든 행위를 할 수 있었습니다.”

실험용으로 만들어진 가짜 날씨 앱은 공격자의 서버와 항시 연결되어 있었다. 이 연결은 사용자가 앱을 중단시켜도 유지됐다. “즉, 공격용 가짜 앱만 잘 만든다면 공격자가 항상 누군가를 염탐할 수 있다는 겁니다.”

스파잉 활동을 위한 악성 앱은 이전에도 있었고, 피해자를 양산한 바 있다. 하지만 그런 앱들은 대부분 사용자들에게 카메라, 마이크, 위치 정보, 저장소에 대한 접근권한을 요청해야만 했다. 의심이 많은 사용자라면 한 번쯤 수상하다고 생각할 법하다는 것이다. 하지만 CVE-2019-2234 취약점들 덕분에 공격자는 의심 받을 일이 줄어든다. “심지어 여기서 문제가 되는 카메라 앱은 구글과 삼성의 장비들에 ‘디폴트로’ 설치되어 있는 겁니다. 피해자가 할 수 있는 일이 그리 많지 않습니다.”

이에 연구원들은 구글에 해당 사실을 알렸다. 7월 초의 일이었다. 구글은 그 달에 즉시 패치를 발표했다고 한다. 삼성 측 역시 패치를 발표했다고 주장했지만, 발표 일자에 대해서는 언급하지 않고 있다. 체크막스가 삼성 장비에서도 비슷한 문제를 발견한 건 8월 29일의 일이다. “두 회사가 다 패치를 했다고는 하는데, 아직 정확히 확인되지는 않고 있습니다.”

이에 체크막스는 해당 취약점에 대한 상세 기술 보고서(https://info.checkmarx.com/hubfs/Reports/Android_Camera_Vulnerability_Report_FINAL_v2_(002).pdf?utm_campaign=Vulnerability%20Report%20191119%20-%20Android%20Camera%20App)와 해킹 시연 영상(https://youtu.be/XJAMJOVoVyw)을 발표했다.

3줄 요약
1. 구글 픽셀에 설치된 카메라 앱에서 스토킹 행위 가능한 취약점 발견됨.
2. 곧이어 삼성의 스마트폰 카메라 앱에서도 같은 취약점 발견됨.
3. 두 회사 모두 패치했다고 주장하고 있으나 패치를 확인하기가 어려운 상태. /보안뉴스 [국제부 문가용 기자(globoan@boannews.com)]

댓글을 달아 주세요