[iOS] Keychain Dumper

개요

iOS의 Keychain은 민감한 데이터를 기기에 저장하는 sqllite 데이터베이스로 인증 토큰 같은 비밀번호나 계정 등을 안전한 저장소에 보관하는 것을 의미합니다. Keychain이 필요한 이유는 앱의 구성 파일에 민감한 정보를 저장할 경우 쉽게 유출당할 우려가 있기 때문에 개발자는 키 체인 서비스를 활용하여 운영 체제가 민감한 정보를 안전하게 저장하도록 해야 됩니다.

특정 앱에 Keychain이라는 데이터베이스가 존재한다면 내부에 중요정보들이 모두 들어가게 되며 이는 기본적으로 암호화가 된 상태로 저장됩니다. 하지만 이조차 추가적으로 암호화를 수행하지 않는다면 내부에 저장된 중요정보를 평문 형태로 개인정보를 유출할 가능성이 존재합니다.

 

특정 앱에 입력된 값이 private/var/keychains 경로에 암호화되어 저장되고 있습니다. 해당 정보를 평문으로 추출하기 위해선 Keychain Dumper이라는 도구를 사용해야 됩니다.

 

하단의 링크로 접속해 압축파일을 다운로드해주시면 됩니다. 내부에는 Keychain Dumper를 실행시키 위한 바이너리 파일이 존재합니다.

github.com/ptoomey3/Keychain-Dumper/releases

Releases · ptoomey3/Keychain-Dumper

디바이스를 3 uTools와 연결해주고 압축 해제한 파일을 /usr/bin 경로에 드래그 앤 드롭해줍니다.

 

SSH연결을 통해 터미널로 접근 후 /usr/bin 디렉토리에서 드래그 앤 드롭시켜준 Keychain_dumper파일의 권한을 수정해주시면 사용이 가능해집니다.

 

./keychain_dumper로 실행시켜보면 "You should unlock your device!" 문구가 나타나는데 이것은 iOS 기기가 자금 해제된 경우에만 액세스 할 수 의미합니다. 즉 디바이스를 잠금 설정해주시고 keychain_dumper명령어를 사용하는 시점에 수동으로 자금 해제를 해주시면 됩니다.

 

Keychain에 저장될 임의 값을 입력하고./keychain_dumper 명령어를 실행시켜 줍니다. 디바이스에 화면에 암호를 다시 요구할 수 있기 때문에 화면을 봐주시면서 진행해주시기 바랍니다.

 

다시 말씀드리자면 자신의 디바이스 암호 잠금을 활성화시킨 상태로 진행해주셔야 됩니다.

 

덤프 한 Keychain 내용을 지정해둔 텍스트 파일 이름으로 출력되도록 설정할 수 있습니다. 내부에는 다수의 내용이 저장되기 때문에 검색하여 확인해보시면 빠르데 확인이 가능합니다.

 

3uTools에 출력된 텍스트 파일이 확인되면 해당 파일을 바로 열어서 확인하거나 로컬로 드래그 앤 드롭해서 확인해 보시면 됩니다.

 

Service에는 DVIAswiftv2 이름을 가진 번들 식별자가 존재하며 입력했던 keychain의 값이 복호화되어 노출되는 것을 확인할 수 있습니다. 실제 운영 중인 앱에는 "사용했던 계정" 또는 "이름" 등이 노출될 수도 있습니다.