상세 컨텐츠

본문 제목

[Android Reversing] Insecure Logging mechanism (InsecureBankv2, 로깅 취약점)

REVERSING/Android

by koharin 2021. 7. 6. 22:59

본문

728x90
반응형

decompile using dex2jar

$ dex2jar-2.0\d2j-dex2jar.bat Android-InsecureBankv2\InsecureBankv2.apk

Java 코드를 보기 위해 dex2jar로 디컴파일

 

 

Vulnerability

DoLogin.class

로그인 성공 시 username과 password를 로깅한다.

다른 java 코드에는 로깅하는 코드가 없다.

 

 

Exploit

log 확인

adb -s emulator-5554 logcat

민감한 정보(password), 계좌이체 정보를 확인할 수 있다.

 

728x90
반응형
저작자표시 비영리 변경금지

'REVERSING > Android' 카테고리의 다른 글

[Android Malware] CovidLock analysis  (0) 2021.07.19
[Android Reversing] Android Pasteboard vulnerability (InsecureBankv2, 안드로이드 클립보드 취약점)  (1) 2021.07.06
[Android Reversing] Sensitive Information in Memory  (0) 2021.07.06
[Android Reversing] Application Patching  (0) 2021.07.06
[Android Reversing] Weak Cryptography implementation (취약한 암호화 취약점)  (0) 2021.07.06

관련글 더보기

티스토리툴바