300x250
구글로 부터 전달받은 메일 내용 본문 중 일부
요약
- 취약점 노출 : 앱 코드에 AWS 자격인증 정보 존재, 개선 권고
대응
1. 하드코드 AWS 자격인증 정보 제거
2. Amazon Cognito 자격증명 생성
( * Amazon Cognito : 사용자 풀 및 자격 증명 풀 Pool 제공 )
- " Amazon Cognito " 새 자격증명 생성 :
** 인증되지 않은 자격 증명에 대한 액세스 활성화
3. IAM 정책 연결
- " IAM " 관리 콘솔에서 위 생성한 자격증명에 허용할 정책( 권한 ) 연결 :
권한 Example ) Amazon Rekognition Full Access
4. 안드로이드 프로젝트 적용
- App 수준 Gradle Dependency 추가
2020-11-16기준
implementation 'com.amazonaws:aws-android-sdk-core:2.16.8'
implementation 'com.amazonaws:aws-android-sdk-cognito:2.16.8'
- Cognito Credential 생성하여 AmazonXXXClient 객체에 주입
CognitoCachingCredentialsProvider(CONTEXT, IDENTITY_POOL_ID, REGION )
5. 배포
궁금한 점
cognito 말고 proguard로 대응되는지???
디컴파일해서 하드코드된 credential 정보가 난독화 되있는지??
반응형
'Android > Google Play Console 정책 및 배포 관련' 카테고리의 다른 글
Google Play Console 수익 서비스 수수료 인하 관련 (0) | 2021.06.09 |
---|---|
5월 5일부터는 앱에 광범위한 저장공간 액세스 권한이 필요한 이유를 알려야 합니다. (0) | 2021.04.15 |
[ 2차 업데이트 ]귀하의 앱에서 Google AdMob 광고 게재가 중지되었습니다. (0) | 2020.12.03 |
구글 플레이 콘솔에 업로드한 apk or Android App Bundle ( aab) 파일 제거 (4) | 2020.11.17 |
안드로이드 Pro-guard 프로가드 적용 (0) | 2020.11.16 |