[Android] Activity Component 취약점

개요

안드로이드의 Activity는 애플리케이션의 4대 구성단위 중 필수적인 요소로 인텐트(Intent)라는 일종의 메시지 객체를 사용하여 사용자와 애플리케이션 간에 상호작용을 하면서 사용자 인터페이스를 포함한 하나의 화면을 나타냅니다. 4대 컴포넌트 중 가장 많이 상용되며 주로 UI(User Interface)화면을 담당합니다.

 

https://google-developer-training.github.io/android-developer-fundamentals-course-concepts-v2

예시로 이메일 앱의 Activity에 대해 간단하게 생각해보자면

(1) 이메일 목록을 표시

(2) 이메일 작성

(3) 전달받은 이메일 읽기

등 여러 기능이 존재할 것입니다. 이러한 여러 Activity가 함께 동작하여 사용자에게 보기 쉬운 환경을 구성하지만 (1), (2), (3) 각각이 독립되어 실행 됩니다. 마치 (2) 이메일 작성을 할 때 사용되는 Activity가 허용되어 있을 경우 사진(다른 앱)에서 가져와 공유할 수 있게 되는 것입니다.

 

만약 개인정보를 입력받는 곳이나 인증 거쳐야 접근이 가능한 곳의 Activity 속성이 취약하게 설정되어 있다면 짜인 로직들을 무시하고 Activity를 강제 호출하여 비정상적인 접근이 가능해질 수 있습니다.

 

해당 취약점을 확인하기 위해 동적 분석도구인 "Drozer(드로저)"를 사용하도록 하겠습니다.

 

구축 방법은 하단의 포스팅 참고

guleum-zone.tistory.com/152

[Android] 드로저(Drozer) 환경 구축

---

Using Drozer

드로저 콘솔을 통해 Activity를 호출할 것이기 때문에 자신의 디바이스와 연결을 해두겠습니다.

 

안전하지 않은 액티비티 권한을 확이 하기 위해 Androidmanifest.xml 파일을 확인해봐야 됩니다. jadx를 통해 디컴파일하여 확인해 본 결과 패스워드 변경 관련한 액티비티 호출이 "True"로 되어있습니다.

 

Activity를 사용하기 위해선 반드시 매니페스트 파일에 등록되어 있어야 됩니다. jadx 프로그램 이외에도 드로저 명령을 이용하시면 좀 더 편하게 내부 설정 정보를 확인하실 수 있습니다. 

 

동적 분석도구인 "드로저"를 통해 공격 표면을 스캔해본 결과 5개의 Activity가 외부에 노출되어 있는 것으로 보아Activity는 하나 이상의 View를 가질 수 있다는 것을 알 수 있습니다.

 

외부에 노출된 5개의 Activity 정보를 상세하게 확인이 가능하며 Permission: null이라는 메시지를 통해 별도의 권한이 존재하지 않는 것을 알 수 있습니다. 

 

작성된 로직에 의하면 패스워드를 변경하기 위해선 "Login"을 선행하고 "Login"된 계정에 한해서 정보를 변경할 수 있도록 되어 있습니다.

 

로그인이 되어 있지 않은 상태에서 안전하지 않은 권한을 가진 ChangePassword를 호출해보겠습니다.

 

drozer를 통해 호출해본 결과 기존에 "Login" 로직 인증을 우회하고 접근하고자 하는 페이지로 넘어온 것을 확인하실 수 있습니다.

---

이번에는 안드로 고트를 통해 안전하지 않은 액티비티 호출을 해보겠습니다. 현재 자신의 인보이스 내역을 다운받기 위해선 기존에 "PIN"코드를 입력받아 검증을 하도록 되어 있습니다.

 

드로저를 활용하기 위해 안드로 고트의 패키지 명을 알고 있어야 됩니다.

 

드로저를 활용하여 동적 분석을 해보면 외부에 노출된 2개의 Activity가 확인되고 있습니다.

 

노출된 SplashActivity와 AccessControl1ViewActivity 에 Permission: null이 부여된 것으로 보아 별도의 접근 권한이 존재하지 않는 것을 알 수 있습니다.

 

매니페스트의 설정 정보를 확인해본 결과 exported: "true"는 확인되지 않지만 별도의 접근권한이 부여되어 있지 않습니다.

 

인보이스 다운로드 관련한 액티비티 설정이 존재하는데 설정으로 되어 있는 것으로 보아 외부에서 액세스가 가능하고 상단에 노출된 액티비티와 연관이 있는것으로 판단됩니다.

 

jadx로 안드로고트.apk를 디컴파일하여 어떤 연관이 있는지 문자열 검색을 통해 확인해보도록 하겠습니다.

 

기존에 입력받은 핀코드를 검증하는 로직이 별도로 존재하지 않으며 단순 인보이스 관련 Activity가 호출만 되더라도 이전 로직을 뛰어넘어 바로 실행되는 것으로 확인됩니다.

 

외부에 노출된 AccessControl1ViewActivity를 호출하여 PIN 코드 입력 없이 바로 DownloadInvoiceService 호출이 가능한지 실행해 보겠습니다.

 

성공적으로 별도의 PIN코드 입력 없이 바로 다음 로직으로 우회할 수 있는 것 확인하였습니다.

 

대응방안

1. Androidmanifest.xml 파일 속성 설성
- 사용이 불필요한 경우 android : exported ="false" #true일 경우 활성화
2. 사용자 지정 권한으로 액세스 제한
- activity에 대한 사용자 지정(개발자, 이메일 등 유일한 값)을 통해 아무나 액세스 할 수 없도록 지정
ex) 사전에 permission="com.secure.test" 라고 줬다면 매니페스트 설정에도<uses-permission name= "com.secure.test/> 라고 명시해줘야됨