사용자가 개인 정보나 중요한 정보를 복사할 때 클립 보드에 저장된 임시 정보를 별도의 권한 없이 허가되지 않은 사용자가 확인할 수 있기 때문에 발생하는 취약점
Android Clipboard Framework : getSystemService() 메서드를 사용
- 취약점 진단 과정
- 민감정보 바ㅏ로 복사 사용 가능 >>>>>>>>>> 이때 복사했던 내용을 잘 기억하자
- 붙여넣기 가능
- 드로저를 통해 클립보드 탈취하는지 확인
- ****************혹시 에러 발생한다면************
- [Errno 10061] 이 발생했다면
- adb forward 해주기
- ******************************************************************************
- 취약점 진단을 위해 드로저에 clipboard라는 모듈을 사용
- 모듈 설명은 module search clipboard -d로 확인 가능
- 이 모듈을 실행시키면 클립보드에 저장되어 있는 정보를 출력해주거나 특정 텍스트를 클립보드로 저장해 기존에 저장되어 있던 정보 대신 원하는 정보를 붙여넣기 가능
- 위에서 복사했던 내용 확인 가능
- 실질적인 정보를 getText()로 가져옴
- 복사/붙여넣기 기능은 안드로이드에서 제공하는 기본적인 기능이기 때문에 특별한 권한을 요구하지 않으며 메서드 사용만으로도 데이터 추출이 가능
- 취약점 대응 방안
- 클립보드에 대한 권하는 어떤 앱이든 동일하게 사용할 수 있게 설계되어 있기 때문에 프로그래밍적으로 안전한 구현 불가능
- 클립보드에 존재하는 데이터를 제한된 시간 동안만 유지하도록 설정
- 일정 시간 동안 앱에 접근하지 않을 때 데베 접근 권한을 막는 것도 필요
'정보보안 > 안드로이드해킹' 카테고리의 다른 글
| 안드로이드 모의해킹) 런타임 조작 (0) | 2020.11.26 |
|---|---|
| 안드로이드 모의해킹) 안드로이드 백업 취약점 (0) | 2020.09.10 |
| 안드로이드 모의해킹) 애플리케이션 디버깅 기능 (0) | 2020.09.09 |
| 안드로이드 모의해킹) 안드로이드 키보드 캐시 이슈 (0) | 2020.09.08 |
| 안드로이드 모의해킹) 안전하지 않은 로깅 메커니즘 (0) | 2020.09.08 |
댓글