안드로이드 키보드 캐시 이슈
안드로이드 키보드 캐시 이슈란?
키보드 캐시 이슈는 사용자가 중요 정보를 클립보드에 저장 할 시 공격자가 해당 정보를 취득 할 수 있는 취약점이다.
취약점 진단
진단 대상이 되는 애플리케이션을 실행 한 뒤 중요정보가 복사가 되는지 확인한다.
그리고 Clipper와 같은 클립보드에 접근할 수 있는 앱을 설치한 후 중요 정보 복사 시 중요 정보가 클리퍼 앱에서 노출되는지 확인한다.
Android13 부터는 android 자체에서 클립보드 관리 UI를 지원한다.
![notion image](https://www.notion.so/image/https%3A%2F%2Fprod-files-secure.s3.us-west-2.amazonaws.com%2F0de85482-c105-4bc9-8ce2-427dab62a0c0%2Fcea6e544-a6e2-44a1-8195-2a37c4bf25f8%2FUntitled.png?table=block&id=68483d93-e204-4335-b241-9948b4510563&cache=v2)
![notion image](https://www.notion.so/image/https%3A%2F%2Fprod-files-secure.s3.us-west-2.amazonaws.com%2F0de85482-c105-4bc9-8ce2-427dab62a0c0%2F9fd4b584-0f35-406b-9a99-bc27b34df1a6%2FUntitled.png?table=block&id=a06cb831-8bd8-4dca-aa7a-bead979a5092&cache=v2)
사용자가 중요 정보를 키보드 캐시에 저장을 하게 되면 안드로이드는 이를 키보드 캐시에 저장을 한다.
사용자는 해당 데이터를 아무런 권한 없이 접근이 가능이 가능할 수 있다.
![notion image](https://www.notion.so/image/https%3A%2F%2Fprod-files-secure.s3.us-west-2.amazonaws.com%2F0de85482-c105-4bc9-8ce2-427dab62a0c0%2F1e23fd8b-1fee-4b5d-8756-f92cdb228768%2FUntitled.png?table=block&id=4df605f1-d006-4ba1-9c7e-eb57067ce994&cache=v2)
![notion image](https://www.notion.so/image/https%3A%2F%2Fprod-files-secure.s3.us-west-2.amazonaws.com%2F0de85482-c105-4bc9-8ce2-427dab62a0c0%2Fb7bb2576-ec9e-497d-9aa6-1822a86961c2%2FUntitled.png?table=block&id=35a374fd-c6d2-48d5-b01c-ec582a5fa557&cache=v2)
대응방안
중요정보와 같은 데이터는 패스워드와 같이 마스킹을 하여 복사하지 못하도록 방지를 해야된다.
설정은 activity_do_transfer.xml에서 할 수 있다.
중요정보의 layout에 android:editable 속성에 false값을 입력하여 복사가 불가능 하게 할 수 있다.