[IOS] DVIA 를 통한 취약점 파헤치기!(불필요한 권한 설정)

안녕하세요.

이번에는 불필요한 권한 사용하는 방버베 대한 취약점을 알아보도록 하겠습니다.

 

앱에 접근 권하니 필요하다는 것을 알리기 위해 UsageDescription 키를 앱으 info.plist파일에 저장

 

Permission Key

 

Bluetooth	NSBluetoothAlwaysUsageDescription	블루투스 사용
Calendar and Reminders	NSCalendarsUsageDescription	사용자 캘린더 사용
	NSRemindersUsageDescription	사용자 미리 알림 사용
Camera and Microphone	NSCameraUsageDescription	카메라 사용
	NSMicrophoneUsageDescription	마이크 사용
Contacts	NSContactsUsageDescription	주소록 사용
Face ID	NSFaceIDUsageDescription	Face ID 사용
Files and Folders	NSDesktopFolderUsageDescription	사용자의 Desktop 폴더에 접근
	NSDocumentsFolderUsageDescription	사용자의 Document 폴더에 접근
	NSDownloadsFolderUsageDescription	용자의 Download 폴더에 접근
	NSNetworkVolumesUsageDescription	네트워크 볼륨(volume) 파일에 접근
	NSRemovableVolumesUsageDescription	이동식 볼륨(volume) 파일에 접근
	NSFileProviderPresenceUsageDescription	다른 앱이 관리하는 파일에 접근할
Health	NSHealthClinicalHealthRecordsShareUsageDescription	임상 기록 읽기
	NSHealthShareUsageDescription	건강 앱의 데이터를 사용
	NSHealthUpdateUsageDescription	건강 정보를 건강 앱에 제공
Home	NSHomeKitUsageDescription	사용자의 홈킷 구성 데이터에 대한 접근
Location	NSLocationAlwaysAndWhenInUseUsageDescription	항상 사용자 위치 정보에 대한 접근
	NSLocationUsageDescription	사용자 위치 정보에 대한 접근
	NSLocationWhenInUseUsageDescription	앱이 실행 중일 때만 위치 서비스를 사용
	MediaPlayer NSAppleMusicUsageDescription	미디어 라이브러리에 대한 접근
	Motion NSMotionUsageDescription	가속도계에 대한 접근
	NFC NFCReaderUsageDescription	근거리 무선 통신(NFC)
Security	NSAppleEventsUsageDescription	애플 이벤트 전송 기능 사용
Siri	NSSiriUsageDescription	사용자 데이터를 Siri에 전송
	Speech NSSpeechRecognitionUsageDescription	사용자 데이터를 애플의 음성 인식 서버로 전송
TV	NSVideoSubscriberAccountUsageDescription	사용자의 TV 제공 업체 계정에 대한 접근

 

실습을 수행해 봅시다.

 

DVIA 의 Excessive Permissions를 클릭 시 CAMERA PERMISSION 기능이 있습니다.

 

해당 기능 클릭 시 아래와 같이 카메라 기능이 활성화 되며 사진이 찍힙니다.

 

 

이제 해당 앱의 기능에서 카메라 기능을 꺼주겠습니다.

 

해당 기능을 앱에서 확인하는지 확인하기 위해 3Utools를 이용해서 info.plist 파일을 확인해 보겠습니다.

 

해당 퍼미션이 등록되어있는것을 확인할 수 있습니다.

이외에 기능들이 등록되어 있어도 사용하는지 확인을 해야함. 사용하지 않은경우도 있고 불필요한 권한도 사용하려 하기 때문

 

이번 실습도 끄읏~

다음엔 Runtime Manipulation 관련 실습을 수행하겠습니다.