[해외보안동향] 카메라 360, 민감 데이터 유출

카메라 360, 민감 데이터 유출

Another Popular Android Application, Another Leak

최근 여러 인기있는 안드로이드 앱들이 민감 정보를 유출하는 것으로 밝혀진 가운데, 또 다른 인기 앱인 "Camera360 Ultimate(이하 Camera360)" 앱이 민감 정보를 유출하며, 악의적인 목적을 가진 다른 사용자가 타인의 Camera360 클라우드 계정 및 사전에 승인되지 않은 접근을 할 수 있는 취약점이 존재하는 것으로 드러났습니다. 

이 취약점은 MITM 공격을 통하여 악용이 가능하며, 이는 사용자 프라이버시를 침해할 수 있는 매우 심각한 위협입니다. 

Camera360은 매우 인기있는 사진 촬영 및 편집 앱으로, 전 세계적으로 수백만명이 사용하고 있으며, www.cloud.camera360.com에 계정을 생성하면, 사진을 저장할 수 있는 클라우드도 무료로 제공합니다.

사용자 클라우드에 접근을 하려면, 사용자의 계정 및 비밀번호를 입력해야 합니다. 하지만, 앱에서 클라우드에 접근할 때, 클라우드는 안드로이드 시스템 로그(logcat) 및 네트워크 트래픽에 민감 데이터를 암호화 하지 않은 상태로 주고 받습니다. 

이 때문에, logcat이나 네트워크 트래픽 캡쳐를 통하여, 사용자의 아이디와 토큰값을 훔칠 수 있게 되며, 이 훔친 사용자 아이디와 토큰값을 이용하면 클라우드에 저장되어 있는 사용자의 사진들 중 '시크릿 앨범'을 제외한 모든 사진들을 다운로드 받을 수 있습니다. 

'시크릿 앨범'은 중요한 이미지들을 저장 및 보호하기 위하여 한번 더 암호화가 걸려있는 앨범인데, Camera360은 클라우드에 사진을 저장할 때 시크릿모드로 저장하지 않도록 기본 설정이 되어 있습니다. 

참고 : 

https://www.fireeye.com/blog/threat-research/2015/08/another_popular_andr.html