IT 之家 10 月 23 日消息,賽門鐵克昨日(10 月 22 日)發布博文,報告多款熱門移動應用程序由于開發階段的錯誤和不良實踐,導緻其内置了未加密的硬編碼憑證,危及用戶數據。
IT 之家簡要解釋下硬編碼憑證(Hardcoded Credentials),是指在源代碼中直接嵌入的明文密碼或其他敏感信息(如 SSH 密鑰、API 密鑰等)。
賽門鐵克研究人員審查了多款熱門移動應用代碼,發現了硬編碼且未加密的雲服務憑證。
Pic Stitch 代碼中曝光的 Key
賽門鐵克研究人員表示:" 這種危險的做法意味着,任何能夠訪問應用程序的二進制文件或源代碼的人,都可能提取這些憑證并濫用它們,從而操控或竊取數據,導緻嚴重的安全漏洞 "。
Google Play 上發現存在雲服務憑證的應用如下:
Pic Stitch:超過 500 萬次下載,存在 Microsoft Azure Blob Storage 硬編碼憑證
Meru Cabs – 超過 500 萬次下載,發現存在微軟 Azure Blob Storage 硬編碼憑證
Sulekha Busines:超過 50 萬次下載,發現存在微軟 Azure Blob Storage 硬編碼憑據
ReSound Tinnitus Relief:超過 50 萬次下載,發現存在微軟 Azure Blob Storage 硬編碼憑證
Saludsa:超過 10 萬次下載,發現存在微軟 Azure Blob Storage 硬編碼憑據
Chola Ms Break In 超過 10 萬次下載,發現存在微軟 Azure Blob Storage 硬編碼憑證
EatSleepRIDE Motorcycle GPS:超過 10 萬次下載,發現存在 Twilio 硬編碼憑證
Beltone Tinnitus Calmer:超過 10 萬次下載,發現存在微軟 Azure Blob 存儲硬編碼憑據
Crumbl 代碼庫中的 AWS 憑證
蘋果 App Store 上發現存在雲服務憑證的應用如下
Crumbl:390 萬條評價,發現存在亞馬遜硬編碼憑證
Eureka:40.21 萬條評價,發現存在亞馬遜硬編碼憑證
Videoshop:35.79 萬條評價,發現存在亞馬遜硬編碼憑證
Solitaire Clash: Win Real Cash: 24.48 萬條評價,發現存在亞馬遜硬編碼憑證
Zap Surveys:23.5 萬條評價,發現存在亞馬遜硬編碼憑證