多款百萬下載量移動應(yīng)用被曝安全隱患：代碼未加密硬編碼憑證，可泄露用戶數(shù)據(jù)

IT之家 10 月 23 日消息，賽門鐵克昨日（10 月 22 日）發(fā)布博文，報告多款熱門移動應(yīng)用程序由于開發(fā)階段的錯誤和不良實(shí)踐，導(dǎo)致其內(nèi)置了未加密的硬編碼憑證，危及用戶數(shù)據(jù)。

IT之家簡要解釋下硬編碼憑證（Hardcoded Credentials），是指在源代碼中直接嵌入的明文密碼或其他敏感信息（如 SSH 密鑰、API 密鑰等）。

賽門鐵克研究人員審查了多款熱門移動應(yīng)用代碼，發(fā)現(xiàn)了硬編碼且未加密的云服務(wù)憑證。

賽門鐵克研究人員表示：“這種危險的做法意味著，任何能夠訪問應(yīng)用程序的二進(jìn)制文件或源代碼的人，都可能提取這些憑證并濫用它們，從而操控或竊取數(shù)據(jù)，導(dǎo)致嚴(yán)重的安全漏洞”。

Google Play 上發(fā)現(xiàn)存在云服務(wù)憑證的應(yīng)用如下：

• Pic Stitch：超過 500 萬次下載，存在 Microsoft Azure Blob Storage 硬編碼憑證

• Meru Cabs – 超過 500 萬次下載，發(fā)現(xiàn)存在微軟 Azure Blob Storage 硬編碼憑證

• Sulekha Busines：超過 50 萬次下載，發(fā)現(xiàn)存在微軟 Azure Blob Storage 硬編碼憑據(jù)

• ReSound Tinnitus Relief：超過 50 萬次下載，發(fā)現(xiàn)存在微軟 Azure Blob Storage 硬編碼憑證

• Saludsa：超過 10 萬次下載，發(fā)現(xiàn)存在微軟 Azure Blob Storage 硬編碼憑據(jù)

• Chola Ms Break In 超過 10 萬次下載，發(fā)現(xiàn)存在微軟 Azure Blob Storage 硬編碼憑證

• EatSleepRIDE Motorcycle GPS：超過 10 萬次下載，發(fā)現(xiàn)存在 Twilio 硬編碼憑證

• Beltone Tinnitus Calmer：超過 10 萬次下載，發(fā)現(xiàn)存在微軟 Azure Blob 存儲硬編碼憑據(jù)

蘋果 App Store 上發(fā)現(xiàn)存在云服務(wù)憑證的應(yīng)用如下

• Crumbl：390 萬條評價，發(fā)現(xiàn)存在亞馬遜硬編碼憑證

• Eureka:40.21 萬條評價，發(fā)現(xiàn)存在亞馬遜硬編碼憑證

• Videoshop：35.79 萬條評價，發(fā)現(xiàn)存在亞馬遜硬編碼憑證

• Solitaire Clash: Win Real Cash： 24.48 萬條評價，發(fā)現(xiàn)存在亞馬遜硬編碼憑證

• Zap Surveys：23.5 萬條評價，發(fā)現(xiàn)存在亞馬遜硬編碼憑證

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。