안드로이드 하드코딩 취약점 (Android Hardcoded Secrets)
취약점 개요 하드코딩은 프로그램 개발자가 기억하기 쉽도록 특정한 정보를 소스코드에 그대로 입력된 값을 의미한다. 모바일 앱 실행 시 사용자에게 입력받아야 할 정보를 소스코드에 입력하거나 변수, 아이디, 비밀번호, 대칭키 등 중요 정보를 주석 처리하는 것도 하드코딩이다. 개발자가 자신의 편의성을 위해 중요 정보를 하드코딩했다면 다른 사용자가 해당 앱의 소스코드를 확인하여 중요 정보를 획득할 수 있다. 획득한 정보로 개발자가 의도하지 않는 방향으로 이용할 수 있다. 인시큐어뱅크 모바일 앱은 하드코딩 취약점으로 대칭키, 계정 부분에서 발생한다. 대칭키가 동적으로 생성되지 않고 평문으로 저장되어 있으며 로그인 시 사용할 아이디와 비밀번호가 주석 처리되어 있다. 취약점 진단 CryptoClass.java는 사용자..