[Android] Broadcast Receiver 취약점

🌧:
Guluem

« 2024/04 »
일	월	화	수	목	금	토
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30

Tags more

티스토리 뷰

MOBILE

[Android] Broadcast Receiver 취약점

🌧: 2021. 2. 9.

개요

안드로이드의 Broadcast Receiver는 "방송 수신자"라는 의미를 가지고 있으며 애플리케이션의 4대 구성 단위중 하나로 인텐트(Intent)라는 일종의 메시지 객체를 사용하여 안드로이드와 사용자 간에 상호작용을 합니다.

여기서 Broadcast Receiver란 안드로이드에서 존재하는 이벤트들이 발생하면 각 객체들로 적절한 브로드캐스트 메시지를 보내게 된는데 이때 신호를 받아 사전에 정의해놓은 작업을 수행해주는 역할을 합니다.

사전에 정의 해놓은 작업이란??

배터리 상태 알림(배터리 부족/충분)
메시지 송/수신(메시지가 전송/실패되었습니다)
인증코드 입력
사진 캡처(사진이 저장되었습니다)

만약 별도의 권한이 없는 즉 안전하지 않은 리시버 설정을 해둔 경우 사용자가 받는 정상적인 알림을 중간에 가로채거나 인가된 자만 수행이 가능한 행위를 강제로 실행할 수 있도록 할 수 있습니다.

해당 취약점을 확인하기 위해 동적 분석도구인 "Drozer(드로저)"를 사용하도록 하겠습니다.

구축 방법은 하단의 포스팅 참고

guleum-zone.tistory.com/152

[Android] 드로저(Drozer) 환경 구축

개요 Drozer는 FSecureLABS에서 개발한 안드로이드 동적 분석 프레임워크로 PC와 디바이스 사이의 Agent를 통해 앱의 취약성을 테스트할 수 있는 도구입니다. 드로저 전에 Mercury라는 이름으로 사용되었

guleum-zone.tistory.com

취약한 애플리케이션인 "인 시큐어 뱅크"는 패스워드를 교체하기 위해선 기존에 사용된 로그인 정보를 입력해야지만 넘어갈 수 있게끔 되어 있습니다.

설치된 애플리케이션의 패키 지명을 확인하기 위해선 상단의 명령어와 별칭을 조합하여 쉽게 확인하실 수 있습니다.

일단 매니페스트 설정을 확인하여 설정이 어떻게 이루어져 있는지 확인해 보겠습니다.

매니페스트 설정값을 확인해 본 결과 exported="true" 활성화로 설정된 내용이 확인됩니다.

드로저를 통해 대상 앱의 동적 분석을 수행해보면 외부에 노출되어 있는 1개의 Brodcast Receiver가 확인됩니다.

외부에 노출이 되어있으면 두 번째로는 설정된 권한이 존재하는지 확인해 주시면 됩니다. "permission: null"을 통해 별도의 권한이 존재하지 않아 누구나 호출이 가능할 것으로 판단됩니다.

외부에서 권한 없이 호출이 가능한 리시버를 드로저를 통해 한번 실행해 보도록 하겠습니다.

# nox_adb logcat

adb의 "logcat" 명령을 사용하여 로그를 확인해본 결과 "phone number is null"이라는 응답 메시지를 보냄으로써 반응한 것을 확인하실 수 있습니다.(메시지가 화면에는 나타나지 않음)

jadx라는 디컴파일 도구를 활용하여 insecurebankv2의 로직을 한번 확인해보겠습니다.

getStringExtra에 "phonenumber"와 "newpass"를 받고 입력된 값이 존재하지 않을 경우 "phone number is null"이라는 메시지를 응답하는 것이 확인됩니다.

또한 37번 라인에 String textMessage = "Updated Password from: " + decryptedPassword + " to: " + newpass; 을 통해 패스워드를 변경 시 기존에 저장된 패스워드를 복화 하여 새로 입력된 패스워드와 함께 나타난다는 것을 유추할 수 있습니다.

드로저를 통해 소스에서 확인한 매개변수에 임의 값을 날려 decryptedPassword가 로그에서 확인되는지 보겠습니다.

guleum이라는 임의 패스워드를 보냄으로써 로직에 구성된 이전 패스워드까지 복호화되어 로그에 노출된 것을 확인하실 수 있습니다.

취약한 애플리케이션인 안드로 고트를 대상으로 한 번 더 진행해 보겠습니다. 위에 보시는 것처럼 외부에 노출된 1개의 Broadcast Receiver가 확인됩니다.

마찬가지로 별도의 권한이 존재하지 않기 때문에 드로저 사용하여 해당 앱을 실행시킬 수 있습니다.

노출된 리시버인 "ShowDataReceiver"가 어떤 로직인지 확인하기 위해 jadx의 문자열 검색을 사용하여 확인해 보겠습니다.

저장된 사용자의 ID와 Password가 로직 자체에 나와 있을 정도로 취약하지만 저희는 리시버를 호출하여 해당 앱에서 확인하겠습니다.

인 시큐어 뱅크처럼 임의 값을 입력해야 이전 패스워드가 나오는 로직이 존재하지 않으니 그냥 호출해 보도록 하겠습니다.

성공적으로 접근 권한이 존재하지 않는 Broadcast Receiver를 외부에서 호출하여 노출되지 말아야 할 정보가 나타난 것을 확인할 수 있습니다.

대응방안

매니페스트 파일의 속성 중 <receiver> 태그에서 불필요한 기능은 exported="false" 비활성화하여 외부에 노출되지 않도록 설정해야 되며 만약 필요한 기능일 경우 별도의 "Permission"속성을 통해 접근을 제한해야 된다.

/* Androidmanifest.xml */
<receiver android:name=".MyBroadcastReceiver"
	android:permission="android.permission.SEND_SMS">
    <intent-filter>
       <action android:name="android.intent.action.AIRPLANE_MODE"/>
    <intent-filter>
</receiver>

위와 같이 수신 앱의 매니페스트에 선언된 수신자가 존재할 경우 발신 앱이 권한을 요청을 해야만 수신자에게 Broadcast를 전송할 수 있게 됩니다.

저작자표시 비영리 변경금지

'MOBILE' 카테고리의 다른 글

[Android] Data Storage(Plain/Encryption) 취약점 (0)	2021.02.13
[Android] Content Provider 취약점 (2)	2021.02.10
[Android] Activity Component 취약점 (0)	2021.02.08
[Android] Rooting 탐지 우회(Objection) (0)	2021.02.07
[Android] SSL Pinning 우회 (0)	2021.02.06

공유하기 링크

트위터

Comment

☁️ Guleum LAB

티스토리 뷰

[Android] Broadcast Receiver 취약점

개요

대응방안

'MOBILE' 카테고리의 다른 글

티스토리툴바