안드로이드 암호화 구현 취약점 (Android AES 복호화)
안드로이드 모바일 앱에서 사용되는 금융 정보, 개인 정보, 인증 정보 등의 중요한 정보는 기밀성을 보장할 수 있는 표준 암호화 알고리즘을 사용해 암호화를 해야 한다. 하지만, 중요한 정보를 취약한 암호화 알고리즘, 고정적인 대칭키, 짧은 키, 유추하기 쉬운 키를 이용해 암호화를 하면 제 3자가 쉽게 해독이 가능하여 평문의 정보를 획득할 수 있다. 인시큐어뱅크 앱은 대칭키가 항상 고정적이고, 평문의 대칭키를 사용하고 있고, 모든 단말기에 동일한 대칭키를 이용해 암호화를 하므로 취약점이 발생한다. 안드로이드 암호화 구현 취약점 취약점 진단 인시큐어뱅크 앱의 내부 저장소에 저장된 mySharedPreferences.xml 파일을 로컬 PC로 복사한다. 파일을 열어보면 아이디는 Base64 인코딩 되어 있고, ..