<p>구글, 안드로이드 카메라 보안 위협 확인</p><p><br>Checkmarx의 보안 연구 팀은 Amazon의 Alexa 및 Tinder에 대한 과거의 공개와 함께 놀라운 취약점을 발견하는 습관을 냈습니다. 그러나 수억 명의 Android 사용자에게 영향을 줄 수있는 Google 및 Samsung 스마트 폰에 영향을 미치는 취약점이 발견 된 것은 현재까지 가장 큰 것입니다. 연구원들은 무엇을 발견 했습니까? 오, 공격자가 스마트 폰 카메라 앱을 제어하고 원격으로 사진을 찍고, 비디오를 녹화하고, 전화를 귀에 대고, 위치를 식별하는 등의 대화를 기록하여 대화를 감시하는 방법입니다. 이 모든 것이 백그라운드에서 자동으로 수행되었으므로 사용자는 더 현명합니다.</p><p>Google 및 Samsung 카메라 앱 취약성<br>Checkmarx 보안 연구팀이 Google Camera 앱을 연구하기 시작했을 때, 사용중인 Pixel 2XL 및 Pixel 3 스마트 폰 에서 몇 가지 취약점이 발견되었습니다 . 이 모든 것은 공격자가 사용자 권한을 우회 할 수있게하는 문제로 시작되었습니다. Checkmarx의 보안 연구 책임자 인 Erez Yalon은“우리 팀은 특정 작업과 의도를 조작 할 수있는 방법을 찾았습니다. 특정 권한없이 모든 응용 프로그램에서 Google 카메라 앱을 제어 할 수있게되었습니다. 같은 기술이 삼성의 카메라 앱에도 적용되었습니다.”구글과 삼성 스마트 폰의 발자국을 감안할 때 이러한 취약점의 영향은 수억 명의 사용자에게 중대한 위협이되었습니다.</p><p>이 취약점 자체 (CVE-2019-2234)를 사용하여 불량 응용 프로그램이 카메라, 마이크 및 GPS 위치 데이터를 원격으로 입력 할 수있었습니다. 이 작업을 수행 할 수 있다는 의미는 Android 오픈 소스 프로젝트 (AOSP)가 특정 작업을 활성화하기 전에 모든 응용 프로그램이 사용자에게 요청하고 승인해야하는 일련의 권한을 가지고있을 정도로 심각합니다. Checkmarx 연구원은 Google 카메라 앱 자체를 악용하여 이러한 권한을 우회하는 공격 시나리오를 작성했습니다. 가장 많이 요청 된 권한 중 하나 인 저장소 액세스를 악용하는 악성 앱을 만들어서 그렇게했습니다. Yalon은“Android 스마트 폰에서 실행되어 SD 카드를 읽을 수있는 악성 앱입니다. 과거 사진과 비디오에 액세스 할 수있을뿐만 아니라이 새로운 공격 방법을 통해</p><p>침입자는 이러한 Google 카메라 앱 취약점을 어떻게 악용합니까?<br>Checkmarx는 Google Play 스토어에서 매년 인기있는 날씨 앱인 악성 애플리케이션을 개발하여 PoC (Proof of Concept) 악용을 만들었습니다. 이 앱에는 기본 저장소 액세스 이외의 특별한 권한이 필요하지 않았습니다. 이 단일의 일반적인 권한 만 요청하면 앱에서 사용자 알람 벨을 설정하지 않을 수 있습니다. 우리는 결국 하나의 공통된 것이 아니라 불필요하고 광범위한 권한 요청에 의문을 제기했습니다. 그러나이 앱은 무해하지 않았습니다. 그것은 스마트 폰에서 실행되는 클라이언트 앱과 공격자의 입찰을 수행하기 위해 연결되는 명령 및 제어 서버의 두 부분으로 나뉩니다. 앱이 설치되고 시작되면 해당 명령 및 제어 서버에 지속적으로 연결 한 다음 지시를 기다립니다. 앱을 닫아도 해당 서버 연결이 닫히지 않았습니다. 침입자가 어떤 명령을 보내서 어떤 조치를 취할 수 있습니까? 길고 걱정스러운 목록이므로 앉기를 바랍니다.</p><p>스마트 폰 카메라를 사용하여 사진을 찍어 명령 서버에 업로드하십시오.<br>스마트 폰 카메라를 사용하여 비디오를 녹화하고 명령 서버에 업로드하십시오.<br>스마트 폰 근접 센서를 모니터링하여 전화가 귀에 들어간 시간을 확인하고 대화의 양쪽에서 오디오를 녹음하여 음성 통화가 시작될 때까지 기다립니다.<br>모니터링 된 통화 중에 공격자는 오디오 캡처와 동시에 사용자의 비디오를 녹화 할 수도 있습니다.<br>촬영 한 모든 사진에서 GPS 태그를 캡처하고이를 사용하여 전 세계지도에서 소유자를 찾습니다.<br>저장된 사진 및 비디오 정보와 공격 중에 캡처 한 이미지에 액세스하고 복사합니다.<br>사진을 찍거나 비디오를 녹화하는 동안 스마트 폰을 음소거하여 몰래 조작하므로 카메라 셔터 소리가 들리지 않습니다.<br>스마트 폰 잠금 해제 여부에 관계없이 사진 및 비디오 녹화 활동을 시작할 수 있습니다.</p><p>Google 카메라 앱 취약성 공개 타임 라인<br>이 공개 내용은 오늘 Google과 Samsung이 공동으로 조정하여이 취약점에 대한 수정 사항을 발표했습니다. 그러나 Checkmarx가 Google의 Android 보안 팀에 취약점 보고서를 제출 한 7 월 4 일에 공개가 시작되었습니다. 7 월 13 일 Google은 처음에 취약점의 심각성을 보통 수준으로 설정했지만 Checkmarx의 추가 피드백에 따라 7 월 23 일에이 수치가 높아졌습니다. 8 월 1 일 Google은이 취약점이 다른 스마트 폰 공급 업체 및 CVE의 영향을 받아 광범위한 Android 에코 시스템에 영향을 미쳤음을 확인했습니다. -2019-2234가 발행되었습니다. 8 월 18 일에 여러 공급 업체에 연락했으며 8 월 29 일 삼성은이 취약점이 장치에 영향을 미쳤다고 확인했습니다.</p><p>카메라 앱 취약성에 대해 Google은 무엇을 말합니까?<br>Google에 연락했는데 한 대변인은 "Checkmarx가이를 주목하고 Google 및 Android 파트너와 협력하여 공개를 조정 한 것에 대해 감사합니다.이 문제는 7 월에 Google 카메라 애플리케이션의 Play 스토어 업데이트를 통해 영향을받은 Google 기기에서 해결되었습니다. 2019. 모든 파트너에게 패치도 제공되었습니다. "</p><p>또한이 공개에 관한 성명서를 삼성에 문의했습니다. 발표 당시에는 응답이 없었지만 상황이 바뀌면이 기사를 업데이트하겠습니다. 그러나 취약성 공개는 Google과 Samsung이 모두 수정 사항을 발표 할 때까지 지연되므로 최신 버전의 카메라 앱을 사용하는 경우이 공격 시나리오로부터 보호해야합니다.</p><p>최신 버전의 Android 운영 체제로 업데이트하여 사용 가능한 최신 보안 수정 사항을 적용했는지 확인하고 위험을 줄이기 위해 장치에 최신 버전의 카메라 앱을 사용하는 것이 좋습니다.</p><p>'jaw-dropping'보안 전문가 의견<br>사이버 위협 인텔리전스 전문가이자 CompTIA 글로벌 교수진 인 Ian Thornton-Trump에게이 취약점 공개의 심각성 및 그것이 광범위한 스마트 폰 보안 설명에 미치는 영향에 대해 문의했습니다. Thornton-Trump는“카메라 앱이 얼마나 취약한 지에 대한이 보고서를 읽었을 때 턱이 떨어졌습니다.”라고 말했습니다. 실제로 Thornton-Trump는 보안 연구원들이 검은 모자를 쓰고 있었을 때 수십만 달러에 달하는이 연구로 쉽게 수익을 창출 할 수 있었다고 관찰했습니다. Thornton-Trump는“Checkmarx 연구원의 훌륭한 작업과 무결성 덕분에 오늘날 모든 사람이 더 안전합니다.</p><p>우리 대부분과 마찬가지로 Thornton-Trump는 Google이 수정 프로그램을 발행하여 신속하게 발행 한 것을 기쁘게 생각하지만 취약점의 심각성과 포괄적 특성에 따라 "Google이" 프로젝트 제로 " 를 적용 할 때가되었습니다. Android OS 자체를 깊이 파고 드는 능력.” 공개 된 많은 Android 취약점 이 Android 브랜드를 손상시키고 있다는 데는 의심의 여지가 없습니다 . 최근 ' 죽음 의 하얀 화면'문제는 명성 지분에도 도움이되지 않았습니다. Google은 Android를 실행하는 기기의 보안 및 기밀성에 대한 고객의 확신이있는 한 더 많은 조치를 취해야합니다. Thornton-Trump는“보호 할 대상이있는 사람은 즉시 업데이트해야합니다. 나이나 제조업체의 지원 부족으로 인해 장치를 업데이트 할 수 없으면 새 장치를 사용해야 할 때입니다.”라고 Thornton-Trump는 말합니다.</p><p><br></p><p><br></p><p><br><br></p>
<!-- -->
