Acces Control Issues [Part-1]

Access control issues merupakan salah satu kerentanan yang terletak pada sisi batasan dan izin yang diberikan untuk melindungi data dan fungsi perangkat. Kerentanan ini didapati ketika melakukan static analysisi menggunakan JADX dan juga dynamic analysis menggunakan drozer.

Terlihat terdapat 3 activities yang di export dan juga didapat informasi bahwa terdapat beberapa activity yang tidak diterapkan permission. Maka dari informasi ini, didapati informasi bahwa sistem target rentan terhadap bypass activities. Maksudnya adalah, aplikasi lain dapat menjalankan activity tersebut.

Untuk dapat menjalankannya dapat menggunakan drozer menggunakan perintah berikut

run app.activity.start --componenet {identifier name package} {identifier name packaget}.{activity name}

atau juga dapat menggunakan ADB dengan perintah berikut

adb shell am start -n {identifier name package}/{identifier name package}.{activity name}

Maka activity yang mengandung credentials API pun dapat terbuka.

Thanks, Stay Ethical & Happy Hacking! 🍻