Insecure Data Storage

Dari hasil static analysis yang telah dilakukan, pada saat pengguna berhasil melakukan proses login. Maka, access token milik pengguna akan disimpan pada file shared preferences . Untuk detailnya dapat dilihat pada gambar dibawah ini.

Kerentanan insecure data storage ini terjadi ketika sebuah aplikasi menyimpan data sensitif, seperti kredensial, token otentikasi, atau informasi pribadi, di lokasi yang tidak aman di perangkat. Data ini dapat dengan mudah diakses oleh pihak yang tidak berwenang, seperti penyerang atau aplikasi lain. Seperti yang terdapat pada aplikasi target, data access token disimpan pada file shared preferences . File tersebut dapat diakses dan dibaca langsung pada perangkat yang telah di root.

Untuk dapat melihat file berisi akses token tersebut dapat menggunakan perintah berikut.

cat /data/data/{identifier name}/shared_prefs/jwt.xml

Thanks, Stay Ethical & Happy Hacking! 🍻