구글, 삼성 카메라 앱 도촬 취약점

CVE-2019-2234

구글 픽셀 스마트폰의 카메라 앱이 다른 앱에 의해 악용되어, 사용자 몰래 사진과 동영상을 촬영할 수 있는 취약점이 발견됐다. 이는 2019.7월에 구글에 통보됐고, 구글은 그 달로 플레이 스토어를 통해 문제의 카메라 앱을 업데이트했다.

그리고 8월에 구글이 이 취약점을 더 조사한 결과, 다른 안드로이드 스마트폰들에도 해당되는 것을 확인하고, 각 제조사에 패치를 제공했다.

카메라 앱은 각 제조사들이 특화된 기능을 넣기 때문에, 제조사와 기종에 따라 많이 다르다. 어디까지가 영향권에 있는지 잘 모르겠다. 삼성 카메라 앱은 취약한 것으로 확인됐다.

카메라 접근 권한 필요 없다

안드로이드의 storage(저장 용량) 접근 권한은 전체 SD 카드의 내용을 읽고 쓸 수 있는 권한이다. 따라서 이를 가진 앱은 사진, 동영상 같은 미디어 파일에도 접근할 수 있다.

그런데 이 권한을 대부분의 앱들이 가지고 있다고 한다. 날씨나 음식 배달 같은, 저장소 접근 권한이 별로 필요치 않을 것 같은 앱들도 가지고 있다.




여기서 예로 든 앱이 특별히 문제가 있다는 것은 아니다. 과도한 권한은 언제나 지적되는 문제이고, 권한이 있다고 해서 반드시 실제로 악용하는 것은 아니다.

어쨌거나 이처럼 저장소 접근 권한이 있는 앱은 문서, 사진, 동영상 같은 민감한 자료에 접근할 수 있는 잠재적인 위험이 있다.

그런데 이번에 발견된 취약점은 여기에서 한 걸음 더 나아간 것이다. 기존 사진에 대한 접근은 물론, 아예 새로운 사진과 동영상을 몰래 찍을 수 있는 것이다.

사진과 동영상을 찍기 위해서는 별도로 카메라에 접근할 수 있는 권한을 얻어야 한다. 그런데 저장소 권한이 있는 앱은, 별도로 카메라 권한을 얻지 않고도, 취약한 카메라 앱을 제어해서 몰래 촬영을 할 수 있다는 것이 밝혀진 것이다.

이 취약점을 발견한 Checkmarx의 보고서에 따르면, 다음과 같이 악용될 수 있다.
폰이 잠겨 있는 상태에서도 사진과 동영상을 찍는다.
사진에서 위치 정보를 추출한다. 사진에는 GPS 정보가 포함될 수 있으므로, 몰래 사진을 찍으면 실시간으로 위치를 추적할 수 있다.
도촬을 통해 통화 내용을 엿듣는다.
카메라 셔터음을 없애서 사용자 몰래 촬영할 수 있다.
SD 카드에 저장된 사진과 동영상을 외부로 유출한다.

해커는 날씨 앱 같은 간단한 악성 앱을 만들어 플레이 스토어에 올려 놓고, 이를 설치한 사용자들의 사생활을 염탐할 수 있는 것이다. 제대로 된 악성코드는 물론 이보다 더한 짓도 할 수 있지만, 이 취약점은 간단하게 악용할 수 있다는 점이 문제라 할 수 있다.


참고 자료
  1. Android Camera App Bug Lets Apps Record Video Without Permission

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다