[InsecureBankv2] Android Pasteboard vulnerability

Android Pasteboard & Clipboard vulnerability

안드로이드에는 데이터를 복사하면 클립보드에 저장된다.

 

 

클립보드에 저장된 내용에 접근이 가능하기에 복사가 불가능하게 activity_do_transfer.xml 파일에서 EditText의 editable 속성을 false로 설정해주거나 복사한 데이터에 대한 유효시간을 주어 없어지게 해야한다.

 

ADB

아래의 명령어를 하면 나온다는데.. 잘 안나온다

adb shell pe -e | grep -i 'insecurebankv2'
	> u0_a297      13088   485 23760032 268204 SyS_epoll_wait     0 S com.android.insecurebankv2

adb shell
su u0_a297
service call clipboard 2 s16 com.android.insecurebankv
	> Result: Parcel(00000000    '....')

 

Drozer

아래의 명령어를 하면 나오는데 이것도 안된다.. 흠

module install clipboard
run post.capture.clipboard