안드로이드 인증 취약점 (Android Weak Autorization Mechanism)
취약점 개요 사용자가 계좌 입금, 계좌 이체, 상품 결재 등 중요한 기능이 있는 모바일 앱을 이용할 때 정확한 인증 절차를 거치고 기능을 사용할 수 있도록 해야 한다. 하지만, 인시큐어뱅크 앱의 계좌 이체 기능을 이용할 때, 인증 절차가 구현되어 있지 않아 송신자의 계좌번호를 변조하면 다른 사람의 계좌 번호에서 금액을 이체할 수 있는 취약점이 존재한다. 즉, 모바일 앱에 로그인을 한 사용자가 계좌 이체할 때 기재한 송신자의 계좌 번호가 일치 여부 검증 로직이 구현되어 있지 않는다. 취약점 진단 SQLite Browser 프로그램으로 서버 소스 디렉토리에 저장된 mydb.db 파일을 열면 데이터베이스 정보를 파싱하여 사용자의 계좌 정보를 보여준다. Browse Data > Table : accounts 순..