アプリ名 | 08オンライン銀行 |
アプリの概要 | 銀行のオンラインバンキングシステムにログインし、口座の残高照会、振り込み処理等を行うアプリを想定しています。 |
アプリを使用するメリット | 利用者はこのアプリを利用する事で、実店舗(ATM設置場所)に行く事なく、Android端末を使って自分の口座を操作できるようになります。 |
主な動作 | 最初に認証画面を表示して利用者の契約番号、ログインパスワードの入力を得ます。 その後、入力された値を使って認証を行い、認証完了後に取引メニュー画面に遷移して自分の口座とやり取りを行います。 |
サンプルアプリの実装範囲 | 本アプリはサンプルのため、契約番号、ログインパスワードの入力を受け取りますが、入力された値に対するチェック、および認証処理を行いません。認証を通過した想定で次の取引メニュー画面へ遷移します。 |
サンプルアプリ内の脆弱性 |
アプリの開発者は入力された情報が正しく取得できているかどうかを確認する目的で、契約番号とログインパスワードをログに出力していました。そしてログ出力部分を削除せず、そのままリリースしてしまったという想定です。 そのため、Android4.1以前の環境ではREAD_LOGSの権限があるアプリを使用することにより、契約番号、ログインパスワードを読み取られる可能性がありました。 |
サンプルアプリは、以下の環境で動作するように作成されています。
サンプルアプリをビルドするためにはAndroid2.2(API Level 8) のSDKがインストールされている必要があります。 実行環境の準備を行い、サンプルプロジェクトをビルド・実行してみましょう。 準備ができていない場合はこちらを参考に準備を行ってください。 |
---|
![]() |
![]() |
![]() |
![]() |
![]() |
アプリ名 | 08オンライン銀行スパイ |
攻撃者の目的 | 攻撃者は、「08オンライン銀行」アプリが出力するログから契約番号、ログインパスワードを入手し、正規の利用者になりすますことを目的としています。 |
攻撃方法 |
|
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |