Vulnerability Leaked AWS Credentials 안드로이드 Android 배포 대응

구글로 부터 전달받은 메일 내용 본문 중 일부

요약 

---

- 취약점 노출 : 앱 코드에 AWS 자격인증 정보 존재, 개선 권고

대응 

---

1. 하드코드 AWS 자격인증 정보 제거 

2. Amazon Cognito 자격증명 생성
 ( * Amazon Cognito : 사용자 풀 및 자격 증명 풀 Pool 제공 )

- " Amazon Cognito "  새 자격증명 생성 :
** 인증되지 않은 자격 증명에 대한 액세스 활성화 

3. IAM 정책 연결  

- " IAM " 관리 콘솔에서 위 생성한 자격증명에 허용할 정책( 권한 ) 연결 :
권한 Example ) Amazon Rekognition Full Access

4. 안드로이드 프로젝트 적용

- App 수준 Gradle Dependency 추가 
2020-11-16기준

implementation 'com.amazonaws:aws-android-sdk-core:2.16.8'

implementation 'com.amazonaws:aws-android-sdk-cognito:2.16.8'

- Cognito Credential 생성하여 AmazonXXXClient 객체에  주입

CognitoCachingCredentialsProvider(CONTEXT, IDENTITY_POOL_ID,  REGION )

5. 배포

궁금한 점

---

cognito 말고 proguard로 대응되는지??? 

디컴파일해서 하드코드된 credential 정보가 난독화 되있는지??