12. Exccesive Permissions

 

 

 

[목차]

 

 

1. Exccesive Permissions 개요

2. Permissions Key 종류

3. 실습

 

 

---

 

 

 

1. Exccesive Permissions 개요 (과도한 권한)

 

     – 앱 권한을 잘못 사용하는 방법에 대한 취약점

     – 앱이 블루투스 인터페이스, 위치 정보 또는 사용자 사진과 같은

        특정 보호된 자원에 접근하기 전에 시스템에서 앱 대신 권한을 요청함

     – 앱에 접근 권한이 필요하단 것을 알리기 위해

        UsageDescription 키를 앱의 Info.plist 파일에 저장

     – 키와 관련하여 앱에 접근해야 하는 이유를 설명하는 문자열에 설정함

 

     - 권한 허용 여부 묻는 앱 예)

 

 

 

 

2. Permissions Key 종류

 

 

 

 

3. 실습

3-1) DVIA 앱의 info.plist 파일 내 설정된 권한 확인

 

 

 

3-2) 권한 허용 실습

DVIA-v2 앱 실행 후 Excessive Permissions

메뉴에 들어가 camera permissions을 누르면

카메라 접근 권한 승인 요청 팝업이 뜨고

이를 허용하는 경우

 

사진이 자동적으로 찍히며 저장이 되는데

 

이처럼 카메라 기능이 굳이 필요 없는 앱에서

이러한 권한을 요구한다면 위험할 수 있다.

 

 

실무에서 해당 취약점을 진단할 때는

진단하는 앱을 충분히 사용, 파악 후

요청되는 권한이 기능과 상관없는 경우

 

개발자 또는 담당자와 이야기하여

권한 요청에 대한 이유를 확인한 뒤

취약 여부를 결정하면 된다.

 

 

– 주어진 권한이 앱에서 반드시 필요한 것인지 확인 필요

– 앱에서 지나친 권한을 사용할 경우 권한 삭제 권고

 

 

 

 

[참고]

각 앱에 대한 권한은 아이폰

설정 > 해당 앱 > 접근 허용 설정

메뉴에서 설정이 가능하다.

 

 

 

 

[도움 및 일부 이미지 출처]

: 보안프로젝트 김태영 팀장 iOS 모바일 앱 모의해킹(기초) 강의