인시큐어뱅크 앱 취약점 - 페이스트보드 취약점
취약점 소개
사용자의 중요한 데이터가 메모리(클립보드)에 노출되어 있는 취약점이다.
클립보드에 저장된 데이터를 별도의 권한 없이 허가되지 않은 사용자에게 노출되어 있는 취약점이다.
취약점 진단
Insecurebankv2 앱의 Transfer 에서 from Account를 클립보드로 복사한다.
nox_adb shell 명령어를 사용하여 Insecurebankv2 앱을 실행하는 유저 명을 확인한다.
adb shell su 유저명 service call clipboard 2 s16 com.android.insecurebankv2 명령을사용해 클립보드를 검사해보면 복사했던 From Account가 출력되는 것을 확인할 수 있다.
대응 방안
중요한 데이터는 가급적 복사하지 않고 직접 입력
앱의 UI 설계 시 중요한 데이터는 복사하지 못하도록 Password Text Edit View로 제작한다.
'Android > InsecureBankv2' 카테고리의 다른 글
| 인시큐어뱅크 앱 취약점 - 런타임 조작 (0) | 2023.07.03 |
|---|---|
| 인시큐어뱅크 앱 취약점 - 앱 디버깅 취약점 (0) | 2023.07.03 |
| 인시큐어뱅크 앱 취약점 - 취약한 로깅 메커니즘 (0) | 2023.07.03 |
| 인시큐어뱅크 앱 취약점 - 중요 정보 메모리 노출 취약점 (0) | 2023.07.03 |
| 인시큐어뱅크 앱 취약점 - 앱 패칭 취약점 (0) | 2023.07.03 |