10 月 23 日消息,赛门铁克昨日(10 月 22 日)发布博文,报告多款热门移动应用程序由于开发阶段的错误和不良实践,导致其内置了未加密的硬编码凭证,危及用户数据。
IT之家简要解释下硬编码凭证(Hardcoded Credentials),是指在源代码中直接嵌入的明文密码或其他敏感信息(如 SSH 密钥、API 密钥等)。
赛门铁克研究人员审查了多款热门移动应用代码,发现了硬编码且未加密的云服务凭证。
Pic Stitch 代码中曝光的 Key
赛门铁克研究人员表示:“这种危险的做法意味着,任何能够访问应用程序的二进制文件或源代码的人,都可能提取这些凭证并滥用它们,从而操控或窃取数据,导致严重的安全漏洞”。
Google Play 上发现存在云服务凭证的应用如下:
Pic Stitch:超过 500 万次下载,存在 Microsoft Azure Blob Storage 硬编码凭证
Meru Cabs – 超过 500 万次下载,发现存在微软 Azure Blob Storage 硬编码凭证
Sulekha Busines:超过 50 万次下载,发现存在微软 Azure Blob Storage 硬编码凭据
ReSound Tinnitus Relief:超过 50 万次下载,发现存在微软 Azure Blob Storage 硬编码凭证
Saludsa:超过 10 万次下载,发现存在微软 Azure Blob Storage 硬编码凭据
Chola Ms Break In 超过 10 万次下载,发现存在微软 Azure Blob Storage 硬编码凭证
EatSleepRIDE Motorcycle GPS:超过 10 万次下载,发现存在 Twilio 硬编码凭证
Beltone Tinnitus Calmer:超过 10 万次下载,发现存在微软 Azure Blob 存储硬编码凭据
Crumbl 代码库中的 AWS 凭证
苹果 App Store 上发现存在云服务凭证的应用如下
Crumbl:390 万条评价,发现存在亚马逊硬编码凭证
Eureka:40.21 万条评价,发现存在亚马逊硬编码凭证
Videoshop:35.79 万条评价,发现存在亚马逊硬编码凭证
Solitaire Clash: Win Real Cash: 24.48 万条评价,发现存在亚马逊硬编码凭证
Zap Surveys:23.5 万条评价,发现存在亚马逊硬编码凭证