[안드로이드 APK 진단] DIVA - 1.안전하지 않은 로깅 진단

DIVA 앱을 설치하고 실행하면 위 사진처럼 13개의 취약한 문제점 목록이 나타나는데, 일단 첫 번째 문제인 "1. INSECURE LOGGING, 안전하지 않은 로깅"을 클릭 한다.

Objective(목표)를 보면 로깅되는 정보와 왜 그런 취약점이 발생하는지 관련 된 코드를 알아내야 한다. 입력 창을 보면 카드 번호를 입력하라고 되어 있다.

임의의 카드 번호를 입력하고 "CHECK OUT"을 클릭하면 에러 메시지가 발생한다. 안전하지 않은 로깅이라 하면 민감 정보(아이디, 비밀번호, 세션 값, 금융 정보)가 평문으로 로그 파일에 남는다는 뜻이기 때문에 컴퓨터와 연결하여 adb를 이용하여 로그 정보를 실시간으로 살펴 보면 된다.

컴퓨터와 연결 된지 확인 후 로그를 볼 수 있게 logcat 명령어를 실행한다.

logcat 실행 후 다시 한번 임의의 카드 번호를 입력한다.

로깅 정보를 보면 사용자가 입력한 카드 정보가 평문으로 로깅 되는 것을 볼 수 있다.

취약점이 발생하는 코드는 LogActivity 클래스 코드인데 위 사진처럼 사용자가 입력한 값을 그대로 출력하고 있다.