모의해킹을 진행하다 보면, 예상치 못한 도전에 부딪히는 순간들이 있다.
그중에서도 흔히 발생하는 일이 바로 취약점이 발견된 화면을 캡처하려다 실패하는 상황이다.
보고서를 작성하기 위해 "여기 보세요! 이게 바로 취약점입니다"라며 캡처 사진을
보고서에 첨부하려고 캡처 버튼을 누르는 순간,
화면에 뜨는 건 "이 앱에서는 캡처가 허용되지 않습니다"라는 냉랭한 문구.
화면이 짤막하게 깜빡일 뿐, 저장된 건 아무것도 없다.
캡처가 되더라도 검은색 화면만 캡처가 된다.
이런 문제는 특히 금융권 애플리케이션에서 자주 발견된다.
왜일까? 이유는 간단하다.
바로 보안 때문이다.
예를 들어, 은행 앱에서 사용자의 계좌정보나 금융 데이터를 화면 캡처로 저장할 수 있다면,
이는 악성 코드나 정보 탈취 프로그램에 의해 민감한 데이터가 쉽게 유출될 가능성이 있다.
그래서 화면 캡처를 차단해 둔다.
또 한 가지 재미있는 예로는, 저작권 보호를 위한 캡처 차단 사례를 들 수 있다.
네이버 웹툰과 카카오 웹툰이 대표적인 사례이다.
조금 주제를 벗어난 이야기를 하자면,
무료로 열람할 수 있는 웹툰의 경우에는 공격자나 악의적으로 저작권을 위반하려는
해커가 굳이 캡처를 할 필요가 없다.
왜냐하면, 어차피 누구나 볼 수 있는 공개된 회차이기 때문이다.
아래는 카카오 웹툰, 네이버 웹툰의 무료 회차에 대한 화면 캡처가 우회된 모습이다.
하지만 궁금한 마음에 유료로 열람하는 회차에서도 캡처가 가능한지 확인해보았다.
결과는 무료 회차든, 유료 회차든 모두 캡처가 가능했다.
다만, 네이버 웹툰에는 툰레이더라는 캡처 추적 시스템이 존재한다.
이 시스템은 네이버 웹툰 작품이 불법적으로 캡처되거나 유출될 경우,
이를 실시간으로 탐지해 담당자가 즉각 확인할 수 있도록 만들어진 솔루션이다.
물론 카카오 웹툰도 추척 시스템이 존재할것이다.
이 때문에, 확인은 단순히 테스트 목적으로만 진행했으며, 추가적인 캡처는 진행하지 않았다.
다시 본론으로 돌아와,
만약 위의 화면 캡처 방지 문제를 우회하지 못해,
화면을 다른 휴대폰으로 직접 사진을 찍어 보고서에 첨부해야 하는 상황이 발생한다.
이런 방식은 마치 "아날로그"로 돌아간 듯한 느낌을 주며,
결과적으로 보고서의 퀄리티가 개인적으로 한층 떨어져 보인다고 생각한다.
그래서 개인적으로 보고서에 화면을 첨부할 일이 생기면
Frida를 활용해 화면 캡처 방지를 우회한 뒤, 고화질로 캡처한 이미지를 보고서에 첨부한다.
이렇게 하면 보고서가 훨씬 더 전문적이고 완성도 높게 보인다고 생각이 되기 때문이다.
물론, 애플리케이션 중에는 설정 메뉴에서 화면 캡처를 허용하는 옵션을 제공하는 경우도 있다.
하지만 이러한 기능이 없는 애플리케이션도 여전히 많다.
이런 경우에는 위에서 언급한것처럼 Frida로 화면 캡처 제한을 우회해야만 캡처가 가능해진다.
문제는, Frida를 매번 실행해야하고 스크립트를 작성하는 과정
또, Frida를 탐지하고 있으면 이를 우회하는것이 상당히 번거롭다.
그래서 이러한 반복적인 작업을 항상 캡처 방지를 우회할 수 있는 환경을 구성했다.
이렇게 금융권 애플리케이션, 국내 대표적인 웹툰 애플리케이션인 네이버, 카카오 웹툰에서
Frida를 사용하지 않고도 화면 캡쳐 및 화면 녹화가 되는것을 확인하였다.
'개인 프로젝트' 카테고리의 다른 글
| 19. 업비트(UPbit) 실시간 시세 알아오기(제한X) (0) | 2025.02.26 |
|---|---|
| 18. USB Debugging 우회 (1) | 2025.01.15 |
| 16. 모바일 솔루션 우회 (NSHC-libdxbase.so) (0) | 2024.12.26 |
| 15. 모바일 솔루션 우회 (LIVE스코어 - AppSealing) (0) | 2024.12.18 |
| 14. 모바일 솔루션 우회 (토스) (0) | 2024.12.11 |