안전하지 않은 데이터 저장 Part 4는 Part 1 ~ 3과 다르게 외부 저장소에 중요 정보가 저장되는 취약점이 있다.
외부 저장소는 모든 앱에서 접근할 수 있기 때문에 중요한 정보가 저장되면 안된다.
앱을 실행하고 취약점을 찾아보자
임의로 아이디와 패스워드를 입력하고 SAVE 버튼을 누르니 저장에 성공했다는 알림 메시지가 뜬다.
그럼 이제 내 계정 정보가 외부 저장소에 저장됐는지 확인해보자
adb shell로 안드로이드 쉘에로 이동 후 외부 저장소 경로인 /sdcard로 이동한다.
ls -al 해보니 최근 수정 날짜가 오늘인 .uinfo.txt 파일이 보인다.
cat 명령어로 파일 내용을 확인해 보니 방금전 입력한 아이디와 패스워드가 저장되어있다.
대응방안
- 중요 정보는 내부 저장소(/data/data/앱 패키지/~~)에 암호화해서 저장
'모바일 앱 해킹' 카테고리의 다른 글
| Frida 기본 정리 | Frida란?, 기본 문법, CLI 활용 (2) | 2024.06.03 |
|---|---|
| [DIVA] Input Validation Issues - Part 1 (입력값 검증 부재) | 안드로이드 앱 취약점 실습 (0) | 2024.05.23 |
| [DIVA] Insecure Data Storage - Part2 (안전하지 않은 데이터 저장) | 안드로이드 앱 취약점 실습 (0) | 2024.05.23 |
| [DIVA] Insecure Data Storage - Part1 (안전하지 않은 데이터 저장) | 안드로이드 앱 취약점 실습 (0) | 2024.05.18 |
| [DIVA] HardCoding Issues(하드코딩 이슈) | 안드로이드 앱 취약점 실습 (0) | 2024.05.18 |
