• 카테고리

    질문 & 답변

  • 세부 분야

    보안

  • 해결 여부

    해결됨

Device Log허용 기준에 대해서

20.06.14 00:51 작성 조회수 209

0

참고로 Dvia 앱의 Device Log는 예전에 iPhone4 iOS7에서 로그로 떨어지는것을 확인했습니다. iPhone5c iOS10.3.3 버전이후 부터는 확인할 수 없었습니다.

Device Log에 개인정보 또는 중요정보가 남을때 취약점으로 진단하였습니다.

예전에 사용자ID와  OTP(One Time Password)가 Device Log에 출력되는것을 보고 취약점으로 잡아야 할지 고민한적이 있었습니다. ID와 OTP가 디바이스 로그에 출력될경우도 취약점인지요? 

만약 취약점이라면 로그에 ID 또는 OTP의 일부만 출력될때는 취약점으로 잡아야 하는지요?

예)ki**** (마스킹 처링)

course-thumbnail

해커를 위한 iOS 앱 모의 해킹 전문 과정

Side Channel Data Leakage(1)

강의실 바로가기

답변 1

답변을 작성해보세요.

1

김태영님의 프로필

김태영

2020.06.21

안녕하세요. 보안프로젝트 김태영입니다.

사용자 아이디와 OTP(One Time Password)가 디바이스 로그에 출력되는 경우에는 해당 정보를 가지고 사용자 인증을 한다고 보기에는 어려울 것 같습니다. 

하지만, 디바이스 로그에 출력될 필요가 없는 정보이기 때문에 "삭제할 것을 권고"하는 방향으로 접근하는 것을 추천드립니다.

감사합니다.

이 글과 비슷한 Q&A