안드로이드 복사/붙여넣기 취약점
안드로이드 복사/붙여넣기 취약점이란?
해당 취약점은 사용자가 개인 정보나 중요한 정보를 복사할 때 클립보드에 저장된 임시 정보를 별도의 권한 없이 허가 되지 않은 사용자가 확인 할 수 있기 때문에 발생하는 취약점이다.
취약점 진단
아래 사진과 같이 중요정보가 담긴 계좌이체 화면에서 복사가 가능한 것을 확인 할 수 있다.
drozer를 이용하여 진단
drozer와 연결해 준 뒤 clipboard moudul을 설치해 주었다.
아래와 같이 clipboard에 저장되어 있는 정보를 drozer를 통해 확인 할 수 있었다.
대응방안
클립보드에 대한 권한은 모든 앱에서 동일하게 사용할 수 있게 되어있기 때문에 프로그래밍적으로 안전한 구현이 불가능하다.
존재하는 데이터를 제한된 시간 동안만 유지하도록 설정하고, 설정한 시간이 지나면 삭제하도록 하는것이 일방적인 대안이다.