안드로이드 백업 취약점
- AndroidManifest.xml 파일의 android:allowBackup 속성이 “true” 설정 시 단말기 백업 시 중요 정보 및 인증 정보를 노출하게 된다.
- 사용자가 단말기를 잃어버린경우 제3자에 의해 이러한 백업 취약점을 이용해 단말기를 사용하던 사용자의 중요 및 민감정보가 제3자에게 노출될 수 있는 취약점이다.
진단 방법
앱 내의 정보
- adb backup -f
adb backup -f insecurebank.ad com.android.insecurebankv2
-
안드로이드 단말기에서 비밀번호 입력없이 백업
-
java -jar abe-all.jar unpack
ad 파일을 읽을 수 있는 tar 파일로 변환
java -jar abe-all.jar unpack insecurebank.ad insecurebank.tar
-
출력된 데이터를 분석하여 중요정보/인증정보/민감정보 획득
대응방안
- AndroidManifest.xml 파일의 android:allowBackup=”false”로 속성을 변경한다.
'인시큐어뱅크 활용 안드로이드 모의해킹 공부' 카테고리의 다른 글
| 사용자 계정 목록화 (0) | 2020.12.22 |
|---|---|
| 취약한 인증 메커니즘 (0) | 2020.12.22 |
| 취약한 SD카드 스토리지 (0) | 2020.12.22 |
| 로컬 암호화 이슈 (0) | 2020.12.22 |
| 취약한 브로드캐스트 리시버 (0) | 2020.12.22 |