안녕하세요.
이번에는 불필요한 권한 사용하는 방버베 대한 취약점을 알아보도록 하겠습니다.
앱에 접근 권하니 필요하다는 것을 알리기 위해 UsageDescription 키를 앱으 info.plist파일에 저장
Permission Key
Bluetooth | NSBluetoothAlwaysUsageDescription | 블루투스 사용 |
Calendar and Reminders | NSCalendarsUsageDescription | 사용자 캘린더 사용 |
NSRemindersUsageDescription | 사용자 미리 알림 사용 | |
Camera and Microphone | NSCameraUsageDescription | 카메라 사용 |
NSMicrophoneUsageDescription | 마이크 사용 | |
Contacts | NSContactsUsageDescription | 주소록 사용 |
Face ID | NSFaceIDUsageDescription | Face ID 사용 |
Files and Folders | NSDesktopFolderUsageDescription | 사용자의 Desktop 폴더에 접근 |
NSDocumentsFolderUsageDescription | 사용자의 Document 폴더에 접근 | |
NSDownloadsFolderUsageDescription | 용자의 Download 폴더에 접근 | |
NSNetworkVolumesUsageDescription | 네트워크 볼륨(volume) 파일에 접근 | |
NSRemovableVolumesUsageDescription | 이동식 볼륨(volume) 파일에 접근 | |
NSFileProviderPresenceUsageDescription | 다른 앱이 관리하는 파일에 접근할 | |
Health | NSHealthClinicalHealthRecordsShareUsageDescription | 임상 기록 읽기 |
NSHealthShareUsageDescription | 건강 앱의 데이터를 사용 | |
NSHealthUpdateUsageDescription | 건강 정보를 건강 앱에 제공 | |
Home | NSHomeKitUsageDescription | 사용자의 홈킷 구성 데이터에 대한 접근 |
Location |
NSLocationAlwaysAndWhenInUseUsageDescription | 항상 사용자 위치 정보에 대한 접근 |
NSLocationUsageDescription | 사용자 위치 정보에 대한 접근 | |
NSLocationWhenInUseUsageDescription | 앱이 실행 중일 때만 위치 서비스를 사용 | |
MediaPlayer NSAppleMusicUsageDescription | 미디어 라이브러리에 대한 접근 | |
Motion NSMotionUsageDescription | 가속도계에 대한 접근 | |
NFC NFCReaderUsageDescription | 근거리 무선 통신(NFC) | |
Security | NSAppleEventsUsageDescription | 애플 이벤트 전송 기능 사용 |
Siri |
NSSiriUsageDescription | 사용자 데이터를 Siri에 전송 |
Speech NSSpeechRecognitionUsageDescription | 사용자 데이터를 애플의 음성 인식 서버로 전송 | |
TV | NSVideoSubscriberAccountUsageDescription | 사용자의 TV 제공 업체 계정에 대한 접근 |
실습을 수행해 봅시다.
DVIA 의 Excessive Permissions를 클릭 시 CAMERA PERMISSION 기능이 있습니다.
해당 기능 클릭 시 아래와 같이 카메라 기능이 활성화 되며 사진이 찍힙니다.
이제 해당 앱의 기능에서 카메라 기능을 꺼주겠습니다.
해당 기능을 앱에서 확인하는지 확인하기 위해 3Utools를 이용해서 info.plist 파일을 확인해 보겠습니다.
해당 퍼미션이 등록되어있는것을 확인할 수 있습니다.
이외에 기능들이 등록되어 있어도 사용하는지 확인을 해야함. 사용하지 않은경우도 있고 불필요한 권한도 사용하려 하기 때문
이번 실습도 끄읏~
다음엔 Runtime Manipulation 관련 실습을 수행하겠습니다.
'기술보안 > App' 카테고리의 다른 글
[IOS] DVIA 를 통한 취약점 파헤치기!(Runtime 조작2) (0) | 2024.01.02 |
---|---|
[IOS] DVIA 를 통한 취약점 파헤치기!(Runtime 조작) (0) | 2023.12.11 |
[IOS] DVIA 를 통한 취약점 파헤치기!(Jailbreak Detection 4) (0) | 2023.11.30 |
[IOS] DVIA 를 통한 취약점 파헤치기!(Jailbreak Detection 3) (0) | 2023.11.27 |
[IOS] DVIA 를 통한 취약점 파헤치기!(Frida 설치 및 Jailbreak Detection2) (0) | 2023.09.03 |