Insecurebankv2 - Local Encryption issues, Hardcoded secret, Weak Cryptography implementation
Analysis우선 로그인을 한번 한 뒤에 아래와 같이 autofill 이라는 기능이 있어서 어떤 저장 기능이 있을 것이라고 생각이 들었다.그래서 adb shell을 통해, 내부 저장소를 확인해본 결과 아래와 같이 인코딩과 암호화가 되어있는 username, password가 저장되어 있는 것을 확인하였다. → Local Encryption issues (로컬 암호화 문제)로그인을 마지막으로 한 정보가 autofill 기능으로 채워지기 때문에 로그인과 관련된 액티비티가 있는지 확인해보았고, DoLogin.java 파일이 있어서 해당 코드를 확인해보았다.아래와 같이 예상했던 로직을 나타내는 코드가 있었다.private void saveCreds(String username, String password) ..
