[보안프로젝트]안드로이드 취약점 1

window7 에서 지니 모션을 이용하여 안드로이드 파일 설정 

아이디:jeonminyong

비밀번호:gkdl43121938

안드로이드 구조

취약점 찾는건 보통 APPLICATIONS ,APPLICATION FRAMEWORK 에서 찾게 된다

응용 프로그램의 권한 관리

-안드로이드에 설치된 모든 응용프로그램은 일반 사용자 권한으로 실행됨

-응용 프로그램이 사용자의 데이터에 접근할 때 모든 사항을 응용프로그램 사양에 명시

-접근 시 사용자의 동의를 받도록 하고있음

-모든 응용 프로그램은 설치 시 자신의 고유한 사용자 ID를 할당 받아서 동작

안드로이드 루팅을 해서 디렉토리를 확인해보면

디렉토리를 확인할 수 있다.

안드로이드 앱 설치

#>adb logcat -실시간으로 값들을 확인할 수 있다.

python app.py로 서버를 연결하고

jack

Jack@123$

아이디 비밀번호 설정하면 로그인이 완료된다

안드로이드 어플 설치할려면

https://apkpure.com/

여기서 검색 하면 된다.

취약점

1.logcat에 중요정보가 평문으로 나오면 안된다

2.internal Storage(내부 저장소)-접근 X

중요 정보를 설정할 수 밖에 없다.

조건> 꼭 안전한 암호화, 토큰 방식

sha25 이상 

-database :앱에 필요한 정보 저장. sqlite db 저장. ex) test.db

-cache

-lib:라이브러리,so파일 저장,c,c++로 컴파일된 파일(분석하기 까다롭다)

-files:앱에 필요한 기타 파일

-shared_prefs: 설정 파일이 포함 

.....

#cd databases

안에 정보를 확인하고 싶으면

SQLite 로 확인해야하는데 adb를 사용해서 pull 해준 다음에 불러와서 확인할 수 있다.

#cd shared_prefs

개인 정보를 확인할 수 있다.

아이디만 안다고 취약점? 이라고 생각할 수 있는데 이 정보를 가지고 자동로그인등 변조가 가능하면 이건 취약점이다

그래서 키 관리가 중요하다 암호화 방식에 대해서

기술 안내서를 참고해서 적어준다.

External Storage(외부 저장소)

누구나 접근이 가능한곳 중요한 정보가 있으면 안된다.

Statements_jack.html 정보를 확인해보면 거래 내역이 있다.(취약점)

apk->dex->smali->class->java