중요 정보 메모리 노출 취약점

중요 정보 메모리 노출 취약점

• 앱에서 사용하는 중요한 정보들은 암호화되어 있으나 메모리로 올라오게 되면 평문으로 노출되는 취약점
• 중요한 정보가 암호화되어 있더라도 메모리에 올라가면서 복호화되는 것을 이용.

진단방법

• Android Studio ->Tool -> Android -> Android Device Monitor 를 실행한다.
• 진단 대상 앱을 설치 후 중요 정보를 사용하는 기능을 사용한다.
• 앱의 프로세스를 Android Device Monitor 툴로 Heap 메모리를 덤프한다.
• 메모리 덤프한 결과를 분석한다.

사용자 아이디 jack 발견 가능
그 외에 암호화되지 않은 내용 평문으로 노출 확인

대응방안

• 메모리(변수)에 중요정보룰 저장할 때는 반드시 암호화해서 저장하도록 조치한다,
• AndroidManifest.xml 파일에 있는 android:debugable 속성을 “false”로 지정한다.