구글의 카메라 앱에 존재하는 CVE-2019-2234 취약점입니다.
픽셀 2 XL, 픽셀 3에 기본 내장된 카메라 앱과 삼성의 카메라 앱에서 사용자 권한을 무시하고 사진/동영상을 촬영하는 취약점이 존재합니다. GPS 데이터를 EXIF에 기록해 촬영 장소를 확인하고, 화면이 꺼지거나 핸드폰이 잠긴 상태에서도 촬영 가능합니다.
이걸로 사진/영상을 촬영해 서버에 업로드하고, 자동으로 통화를 녹음하고, 이런 작업이 진행되는 동안 화면을 끄는 식으로 악용할 수 있었다네요.
이미 모든 제조사가 해당 패치를 끝냈다고 합니다.