2016/05/31 - [Security/Android] - [Android APK 진단] 1. 툴 소개 - 추가 16.06.07
2016/06/07 - [Security/Android] - [Android APK 진단] 2. DIVA. 앱 로그 확인하기 1, 하드코딩된 중요정보 확인하기 1
2016/06/07 - [Security/Android] - [Android APK 진단] 3. DIVA. 안전하지 않은 데이터 저장 확인하기 1
5. Insecure Data Storage - Part3
화면을 보면 아이디와 패스워드를 입력하는 부분이 나온다.
아이디와 패스워드 등의 중요정보를 넣고 저장 버튼을 누르면 저장이 성공적으로 완료 되었다는 Toast를 볼수 있다.
코드를 확인해 보면 이번엔 로그인 패스워드와 아이디를 file로 만드는 것을 알 수 있다.
만들어진 temp 파일은 apk 설치 디렉토리 하단에 생성되고 확인해보면 아이디와 패스워드가 저장되있는 것을 볼 수 있다.
※ 필자의 경험공유 - 점검을 했던 앱중에 하나는 파일을 미리보기 할 수 만 있고, 보안정책상 다운로드나 캡쳐는 불가능 했었다.
그런데, 파일 미리보기 할 때 임시파일을 만들어둬서 이것을 중간에 빼낼 수 있었던 사례가 있다.
6. Insecure Data Storage - Part 4
화면을 보면 아이디와 패스워드를 입력하는 부분이 나온다.
아이디와 패스워드 등의 중요정보를 넣고 저장 버튼을 누르면 저장이 성공적으로 완료 되었다는 Toast를 볼수 있다.
코드를 확인하면 외부저장장치아래에 숨김파일로 uinfo.txt를 만들어 아이디와 패스워드를 저장하는 것을 볼 수 있다.
find 명령을 사용해 해당 파일의 위치를 찾아 확인하면 아래와 같이 아이디와 패스워드를 얻을 수 있다.
find 명령을 설명하면,
/ : 루트 디렉토리 하단에
-name "*uinfo.txt*" : uinfo.txt가 파일명에 들어있는 것을 검색한다.
2>/dev/null : 검색 중 not permitted 등 에러메세지는 출력하지 않는다.
'Security > Android' 카테고리의 다른 글
| [Android APK 진단] 5. DIVA. 입력값 유효성 체크 문제 1 (0) | 2016.06.08 |
|---|---|
| [Android APK 진단] 3. DIVA. 안전하지 않은 데이터 저장 확인하기 1 (0) | 2016.06.07 |
| [Android APK 진단] 2. DIVA. 앱 로그 확인하기 1, 하드코딩된 중요정보 확인하기 1 (0) | 2016.06.07 |
| [Android APK 진단] 1. 툴 소개 - 추가 16.06.07 (0) | 2016.05.31 |