Insecure Data Storage [Part-2]

Sama seperti pada kerentanan insecure data storage sebelumnya, sistem menyimpan data credentials ditempat yang tidak aman. Seperti yang dapat dilihat dari source code aplikasi target, sistem akan menyimpan pada local database pada direktori ids2. Untuk detailnya dapat dilihat pada gambar dibawah ini.

Untuk membuktikannya, coba simpan credentials.

Dan lihat pada local database yang ada menggunakan tool ADB dengan menggunakan perintah seperti dibawah ini.

adb shell

cd /data/data/<<idenfitier name package/shared_prefs/

Download file database tersebut menggunakan perintah ADB berikut.

adb -d shell "run-as <> cat /data/data/<>/databases/ids2" > ids2.db

Jika sudah, buka file database tersebut untuk dapat melihat isi dari file database tersebut. Untuk membuka file tersebut, dapat menggunakan aplikasi-aplikasi yang dapat membuka file database, salah satunya adalah sqlite3 DB browser.

Terlihat data credentials disimpan secara plaintext.

Thanks, Stay Ethical & Happy Hacking! 🍻