6. 취약한 인증 매커니즘 액티비티 노출 취약점

1. 취약점 소개

출처 : https://owasp.org/www-project-mobile-top-10/

○ 정상적인 인증 절차를 우회하여 비정상적으로 인증 권한 획득

○ OWASP Mobile Top 10 2024-M3: Insecure Authentication/Authorization 에 해당

    ● 적절하지 않은 앱 퍼미션 설정 여부
    ● 서비스 권한 상승 행위에 대한 통제 여부
    ● 기능에 대한 제한 또는 우회 금지 여부

    ● 불필요하거나 사용하지 않는 액티비티 제거 여부

    ● 인텐트 사용에 대한 안정성 여부

    ● 마스터 키 취약점 대응 여부

 

 

○ android:exported는 다른 어플에 의해서 현재 만들고 있는 앱의 액티비티 실행 여부를 설정

○ exported의 값이 true인 경우에는 모든 앱에서 접근이 가능

○ false인 경우에는 모든 앱에서 접근이 불가능

○ 특정 조건(동일한 앱, 동일한 사용자 id..)와 같은 경우에만 접근이 가능하다.

 

--filter 옵션을 이용해 특정 패키지에 존재하는 activity 목록 출력 가능

 

2. 로그인 없이 인증 우회

로그인 후 접근 가능한 페이지

○ adb를 이용해 인증 이후에 실행되는 액티비티 강제 실행

○ exported 속성이 true인 경우에만 실행 가능

○ drozer를 이용해 인증 이후에 실행되는 액티비티 강제 실행

○ exproted 속성이 true인 경우 실행 가능

○ 애플리케이션의 액티비티 정보 확인

 

drozer의 app.activity.start를 이용하면 exported 속성인 true인 엑티비티에 접근 가능

 

am 기능을 이용할 경우에도 접근 가능

 

am 기능을 이용할 경우에도 접근 가능 (2)

 

drozer의 --extra 옵션을 이용해 파라미터에 입의 값을 입력할 수 있음

 

로그인 없이 타인의 계정 패스워드 변경 가능

 

3. 대응방안 

중요한 엑티비티가 노출되지 않도록 exported를 false로 수정