アプリ名 | 05データバックアップ |
アプリの概要 | サーバへAndroid端末内のデータをバックアップするアプリを想定しています。 |
アプリを使用するメリット | Android端末内のデータを外部に保存しておくことでデータの破損に備えることができるようになります。 |
主な動作 | 端末内のデータを複数のサーバに対して順番にバックアップします。また、クライアントアプリから指示があった場合には、任意のタイミングでバックアップを行います。 |
サンプルアプリの実装範囲 | 本アプリはサンプルのため、Serviceは起動しますが、実際にバックアップの処理はおこないません。 |
サンプルアプリ内の脆弱性 | データのバックアップを行うServiceのアクセス権設定に不備があったため、他のアプリからアクセス可能であるという脆弱性が存在しています。 |
アプリ名 | 05データバックアップクライアント |
アプリの概要 | バックアップサービスに対して起動の指示を行います。 |
アプリを使用するメリット | このアプリを使用することにより、利用者が任意のタイミングでバックアップ処理を起動することができるようになります。 |
主な動作 | データのバックアップを行うServiceに対して、バックアップ先のサーバの情報とともにバックアップの開始を指示します。 |
サンプルアプリの実装範囲 | 実際にServiceに対してバックアップ処理の開始を指示します。 |
サンプルアプリ内の脆弱性 | クライアント側には脆弱性は存在しません。 |
サンプルアプリは、以下の環境で動作するように作成されています。
サンプルアプリをビルドするためにはAndroid2.2(API Level 8) のSDKがインストールされている必要があります。 実行環境の準備を行い、サンプルプロジェクトをビルド・実行してみましょう。 準備ができていない場合はこちらを参考に準備を行ってください。 |
---|
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
アプリ名 | 05データバックアップスパイ |
攻撃者の目的 | 攻撃者は、「05データバックアップ」アプリの脆弱性を悪用し、バックアップを行うServiceを起動します。さらにバックアップ先に攻撃者のサーバを追加します。 |
攻撃方法 |
|
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |