多款百万下载量移动应用被曝安全隐患：代码未加密硬编码凭证，可泄露用户数据

10 月 23 日消息，赛门铁克昨日（10 月 22 日）发布博文，报告多款热门移动应用程序由于开发阶段的错误和不良实践，导致其内置了未加密的硬编码凭证，危及用户数据。

IT之家简要解释下硬编码凭证（Hardcoded Credentials），是指在源代码中直接嵌入的明文密码或其他敏感信息（如 SSH 密钥、API 密钥等）。

赛门铁克研究人员审查了多款热门移动应用代码，发现了硬编码且未加密的云服务凭证。

Pic Stitch 代码中曝光的 Key

赛门铁克研究人员表示：“这种危险的做法意味着，任何能够访问应用程序的二进制文件或源代码的人，都可能提取这些凭证并滥用它们，从而操控或窃取数据，导致严重的安全漏洞”。

Google Play 上发现存在云服务凭证的应用如下：

Pic Stitch：超过 500 万次下载，存在 Microsoft Azure Blob Storage 硬编码凭证

Meru Cabs – 超过 500 万次下载，发现存在微软 Azure Blob Storage 硬编码凭证

Sulekha Busines：超过 50 万次下载，发现存在微软 Azure Blob Storage 硬编码凭据

ReSound Tinnitus Relief：超过 50 万次下载，发现存在微软 Azure Blob Storage 硬编码凭证

Saludsa：超过 10 万次下载，发现存在微软 Azure Blob Storage 硬编码凭据

Chola Ms Break In 超过 10 万次下载，发现存在微软 Azure Blob Storage 硬编码凭证

EatSleepRIDE Motorcycle GPS：超过 10 万次下载，发现存在 Twilio 硬编码凭证

Beltone Tinnitus Calmer：超过 10 万次下载，发现存在微软 Azure Blob 存储硬编码凭据

Crumbl 代码库中的 AWS 凭证

苹果 App Store 上发现存在云服务凭证的应用如下

Crumbl：390 万条评价，发现存在亚马逊硬编码凭证

Eureka:40.21 万条评价，发现存在亚马逊硬编码凭证

Videoshop：35.79 万条评价，发现存在亚马逊硬编码凭证

Solitaire Clash: Win Real Cash： 24.48 万条评价，发现存在亚马逊硬编码凭证

Zap Surveys：23.5 万条评价，发现存在亚马逊硬编码凭证

【来源：IT之家】