10月23日,赛门铁克发布报告称多款热门移动应用程序由于开发阶段的错误和不良实践,内置了未加密的硬编码凭证,危及用户数据。硬编码凭证是指在源代码中直接嵌入的明文密码或其他敏感信息,如SSH密钥、API密钥等。
赛门铁克的研究人员审查了多款热门应用的代码,发现了这些硬编码且未加密的云服务凭证。研究人员指出,这种做法意味着任何人只要能够访问应用程序的二进制文件或源代码,就可能提取这些凭证并滥用它们,操控或窃取数据,造成严重安全漏洞。
在Google Play上发现存在云服务凭证的应用包括:Pic Stitch(超过500万次下载)、Meru Cabs(超过500万次下载)、Sulekha Business(超过50万次下载)、ReSound Tinnitus Relief(超过50万次下载)、Saludsa(超过10万次下载)、Chola Ms Break In(超过10万次下载)、EatSleepRIDE Motorcycle GPS(超过10万次下载)以及Beltone Tinnitus Calmer(超过10万次下载)。这些应用均被发现含有微软Azure Blob Storage的硬编码凭据,而EatSleepRIDE Motorcycle GPS则涉及Twilio的硬编码凭证。
苹果App Store上也发现了类似问题,Crumbl(390万条评价)、Eureka(40.21万条评价)、Videoshop(35.79万条评价)、Solitaire Clash: Win Real Cash(24.48万条评价)和Zap Surveys(23.5万条评价)都被发现存在亚马逊的硬编码凭证。
转载请注明来自福锐宝TOP,本文标题:《百万应用代码未加密硬编码凭证 安全隐患曝光》