인시큐어뱅크 앱 취약점 - 안드로이드 키보드 캐쉬 취약점
취약점 소개
사용자가 중요 정보를 클립보드에 저장하면 제 3자가 이러한 정보를 획득할 수 있는 취약점이다.
키보드 캐시는 안드로이드의 TextView와 같은 컴포넌트에서 사용자가 중요 정보를 클립보드에 복사할 수 있을 때 임시로 복사한 데이터를 저장하는 곳이다.
취약점 진단
실습을 위해 clipper-2.4.6.apk를 다운받고 가상 디바이스에 설치한다.
clipper.apk는 아래 사이트에서 설치 가능하다.
http://www.apk20.com/apk/95059/v/63301/
adb 명령어를 이용해 apk를 다운로드한 폴더로 이동한 뒤 install 명령어로 설치한다.
인시큐어뱅크 앱에 로그인을 한 후 계좌 전송에 계정 숫자를 복사한다.
클립보드에 복사되어 정보가 그대로 노출되는 것을 확인할 수 있다.
대응 방안
중요 정보는 마스킹 처리를 통해 사용자가 복사하지 못하도록 하거나 사용자가 복사할 수 없도록 조치한다.
android:editable 속성값을 false로 바꾼다.
'Android > InsecureBankv2' 카테고리의 다른 글
| 인시큐어뱅크 앱 취약점 - 취약한 HTTP 통신 및 파라미터 조작 취약점 (0) | 2023.07.03 |
|---|---|
| 인시큐어뱅크 앱 취약점 - 취약한 SD카드 스토리지 (0) | 2023.07.03 |
| 인시큐어뱅크 앱 취약점 - 런타임 조작 (0) | 2023.07.03 |
| 인시큐어뱅크 앱 취약점 - 앱 디버깅 취약점 (0) | 2023.07.03 |
| 인시큐어뱅크 앱 취약점 - 페이스트보드 취약점 (0) | 2023.07.03 |