MASTG-TEST-0212: Uso de Chaves Criptográficas Embutidas no Código

Visão Geral

Neste caso de teste, procuraremos o uso de chaves hardcoded em aplicações Android. Para isso, precisamos focar nas implementações criptográficas de chaves hardcoded. A Java Cryptography Architecture (JCA) fornece a classe SecretKeySpec, que permite criar uma SecretKey a partir de um array de bytes.

Etapas

1. Utilize Análise Estática no Android com uma ferramenta como semgrep ou Rastreamento de Métodos (análise dinâmica) com uma ferramenta como Frida para Android para identificar todas as instâncias de criptografia de chave simétrica no código e procurar por usos de chaves criptográficas hardcoded.

Observação

A saída deve conter uma lista de locais onde chaves hardcoded são utilizadas.

Avaliação

O caso de teste falha se forem encontradas quaisquer chaves hardcoded que sejam usadas em contextos sensíveis à segurança.

Demos

MASTG-DEMO-0017: Uso de Chave AES Hardcoded em SecretKeySpec com semgrep