인시큐어뱅크 앱 취약점 - 앱 디버깅 취약점
취약점 소개
안드로이드 앱을 구동한 후 런타임 디버깅을 통해 안드로이드 앱을 실행도중 조작할 수 있는 취약점이다.
난독화가 안되어있다면 앱의 흐름을 더욱 쉽게 간파당한다.
AndroidManifest.xml 파일에서 android:debuggable 속성이 true로 설정되어 있는 경우 설치된 앱의 보호된 영역까지 접근이 가능하게 된다.
대부분 이러한 취약한 설정은 개발자들의 편의를 위한 설정으로 발생한다. 하지만 이러한 취약한 설정은 배포된 앱의 중대한 보안결함이 발생하므로 반드시 조치해야 한다.
취약점 진단
Drozer 도구로 먼저 insecurebankv2 앱을 진단해보면 is debuggable 이라고 앱 디버깅이 가능하다는 취약점이 나왔다.
AndroidManifest.xml 파일도 android.debuggable이 true로 확인 되었다.
대응 방안
AndroidManifest.xml 파일의 android.debuggable 속성을 false로 바꿔 디버깅에 제한을 둔다.
'Android > InsecureBankv2' 카테고리의 다른 글
| 인시큐어뱅크 앱 취약점 - 안드로이드 키보드 캐쉬 취약점 (0) | 2023.07.03 |
|---|---|
| 인시큐어뱅크 앱 취약점 - 런타임 조작 (0) | 2023.07.03 |
| 인시큐어뱅크 앱 취약점 - 페이스트보드 취약점 (0) | 2023.07.03 |
| 인시큐어뱅크 앱 취약점 - 취약한 로깅 메커니즘 (0) | 2023.07.03 |
| 인시큐어뱅크 앱 취약점 - 중요 정보 메모리 노출 취약점 (0) | 2023.07.03 |