인시큐어뱅크 앱 취약점 - 안드로이드 키보드 캐쉬 취약점

취약점 소개

사용자가 중요 정보를 클립보드에 저장하면 제 3자가 이러한 정보를 획득할 수 있는 취약점이다.

키보드 캐시는 안드로이드의 TextView와 같은 컴포넌트에서 사용자가 중요 정보를 클립보드에 복사할 수 있을 때 임시로 복사한 데이터를 저장하는 곳이다.

실습을 위해 clipper-2.4.6.apk를 다운받고 가상 디바이스에 설치한다.

clipper.apk는 아래 사이트에서 설치 가능하다.

adb 명령어를 이용해 apk를 다운로드한 폴더로 이동한 뒤 install 명령어로 설치한다.

인시큐어뱅크 앱에 로그인을 한 후 계좌 전송에 계정 숫자를 복사한다.

클립보드에 복사되어 정보가 그대로 노출되는 것을 확인할 수 있다.

중요 정보는 마스킹 처리를 통해 사용자가 복사하지 못하도록 하거나 사용자가 복사할 수 없도록 조치한다.

android:editable 속성값을 false로 바꾼다.