안드로이드 디버깅 모드의 설정 여부에 따라 발생
AndroidManifest.xml : 안드로이드 애플리케이션의 각종 정보를 기술
개발자들이 개발 당시 편의 상 디버깅 옵션을 true로 지정했을 경우 취약점이 발생
- 취약점 진단 과정
- adroidMainfest.xml 파일 추출 후 어떠한 정보를 포함하고 있는지 파악
- 최상위 폴더에 위치
- 사용되는 모든 컴포넌트 정보
- 최소한의 SDK 버전
- 추가적인 라이브러리 등 필수 정보 정의
- 디컴파일
- adb pull 명령어를 사용하여 앱을 apk 파일로 추출한 후 apktool 툴을 사용하여 실질적인 디컴파일 필요
- 앱이 설치된 위치를 파악하기 위해 앱의 목록 출력 (pm list)
- /data/app/com.android.insecurebankv2--QgKf7h0T_FpdgvsUF0mIA==/base.apk
- 절대 경로로 해서 그렇지 명령어는 짧다
- adb pull [추출할 apk 경로] [저장할 로컬 경로] : apk 로컬에 저장하기 위한 명령어
- 디컴파일을 하기 위해서는 apktool이 필요
- https://ibotpeaches.github.io/Apktool/install/
- 여기서 설치,,,하는 법 모르겠으면 검색해보세여 다나와여
- 나는 왜인진 모르겠는데 base.apk로 저장되어서 이대로 사용
- 이거 하면 위에 화면처럼 폴더 형식으로 새로 만들어짐
- 디렉터리 내용 확인
- true로 되어있는 것을 보며 취약하다고 판단 가능
- 드루저로 확인
- 오랜만에 오픈하는 드로저
- 앱 목록 출력
- 취약점 확인 : 디버깅 취약점 존재 확인 가능
- 취약점 대응 방안
- 기본적으로 디버깅 관련 파일을 false로 설정
- 디버깅이 가능한 취약점은 사소한 실수로 인해 발생하는 취약점이고 개발자가 앱을 배포하기 전에 한번 더 확인하면 막을 수 있음
'정보보안 > 안드로이드해킹' 카테고리의 다른 글
| 안드로이드 모의해킹) 안드로이드 백업 취약점 (0) | 2020.09.10 |
|---|---|
| 안드로이드 모의해킹) 안드로이드 복사/붙여넣기 취약점 (0) | 2020.09.10 |
| 안드로이드 모의해킹) 안드로이드 키보드 캐시 이슈 (0) | 2020.09.08 |
| 안드로이드 모의해킹) 안전하지 않은 로깅 메커니즘 (0) | 2020.09.08 |
| 안드로이드 모의해킹) 메모리 내 민감한 정보 저장 (0) | 2020.09.03 |
댓글