MASTG-TEST-0212: 代码中使用硬编码密码密钥

概述

在此测试用例中，我们将查找安卓应用程序中硬编码密钥的使用情况。为此，我们需要关注硬编码密钥的加密实现。Java 加密架构 (JCA) 提供了 SecretKeySpec 类，该类允许您从字节数组创建 SecretKey。

步骤

1. 使用 安卓静态分析 工具（例如 semgrep）或 方法追踪（动态分析）工具（例如 Frida 安卓版），以识别代码中所有对称密钥加密的实例，并查找硬编码加密密钥的使用情况。

观察

输出应包含硬编码密钥使用位置的列表。

评估

如果在安全敏感上下文中发现任何硬编码密钥，则该测试用例失败。

演示

MASTG-DEMO-0017：在 SecretKeySpec 中使用硬编码 AES 密钥与 semgrep