Insecure Logging

Insecure logging merupakan kerentanan yang umum ditemukan pada aplikasi android. Kerentanan ini terjadi ketika data sensitif seperti data pribadi, password, atau detail data rahasia lainnya ditulis pada file log tanpa perlindungan atau redaction yang sesuai. Nantinya, kerentanan ini memungkinkan untuk terjadinya pengambilan informasi secara mudah untuk siapapun yang mengakses log.

Kerentanan ini didapati pada aplikasi diva, seperti yang dapat dilihat pada hasil kegiatan static analysis yang telah dilakukan menggunakan aplikasi jadx. Terlihat pada source code yang ada pada class LogActivity, sistem akan membuat log yang berisi nomor kartu kredit.

Untuk membuktikannya, lakukan monitoring log menggunakan tool ADB. Hal pertama yang dilakukan yaitu mendapatkan PID dari aplikasi target yang sedang dijalankan. Untuk melakukannya dapat menggunakan perintah berikut.

adb shell ps | grep {identifier name package}

Setelah mendapatkan PID dari aplikasi target, akses log pada aplikasi tersebut dengan menggunakan perintah berikut.

adb logcat | grep {PID}

Terlihat ketika menginputkan nomor kartu kredit (credit card) terdapat toast yang berisi pesan “An error occured. Please try again later”.

Dan pada log aplikasi tersebut, terlihat data nomor kartu kredit yang sebelumnya diinputkan ditampilkan pada log tanpa dilakukan masking atau proteksi lainnya pada data tersebut.

Thanks, Stay Ethical & Happy Hacking! 🍻