多款百万下载量移动应用被曝安全隐患:代码未加密硬编码凭证,可泄露用户数据

砍柴网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

10 月 23 日消息,赛门铁克昨日(10 月 22 日)发布博文,报告多款热门移动应用程序由于开发阶段的错误和不良实践,导致其内置了未加密的硬编码凭证,危及用户数据。

IT之家简要解释下硬编码凭证(Hardcoded Credentials),是指在源代码中直接嵌入的明文密码或其他敏感信息(如 SSH 密钥、API 密钥等)。

赛门铁克研究人员审查了多款热门移动应用代码,发现了硬编码且未加密的云服务凭证。

多款百万下载量移动应用被曝安全隐患:代码未加密硬编码凭证,可泄露用户数据

Pic Stitch 代码中曝光的 Key

赛门铁克研究人员表示:“这种危险的做法意味着,任何能够访问应用程序的二进制文件或源代码的人,都可能提取这些凭证并滥用它们,从而操控或窃取数据,导致严重的安全漏洞”。

Google Play 上发现存在云服务凭证的应用如下:

Pic Stitch:超过 500 万次下载,存在 Microsoft Azure Blob Storage 硬编码凭证

Meru Cabs – 超过 500 万次下载,发现存在微软 Azure Blob Storage 硬编码凭证

Sulekha Busines:超过 50 万次下载,发现存在微软 Azure Blob Storage 硬编码凭据

ReSound Tinnitus Relief:超过 50 万次下载,发现存在微软 Azure Blob Storage 硬编码凭证

Saludsa:超过 10 万次下载,发现存在微软 Azure Blob Storage 硬编码凭据

Chola Ms Break In 超过 10 万次下载,发现存在微软 Azure Blob Storage 硬编码凭证

EatSleepRIDE Motorcycle GPS:超过 10 万次下载,发现存在 Twilio 硬编码凭证

Beltone Tinnitus Calmer:超过 10 万次下载,发现存在微软 Azure Blob 存储硬编码凭据

多款百万下载量移动应用被曝安全隐患:代码未加密硬编码凭证,可泄露用户数据

Crumbl 代码库中的 AWS 凭证

苹果 App Store 上发现存在云服务凭证的应用如下

Crumbl:390 万条评价,发现存在亚马逊硬编码凭证

Eureka:40.21 万条评价,发现存在亚马逊硬编码凭证

Videoshop:35.79 万条评价,发现存在亚马逊硬编码凭证

Solitaire Clash: Win Real Cash: 24.48 万条评价,发现存在亚马逊硬编码凭证

Zap Surveys:23.5 万条评价,发现存在亚马逊硬编码凭证

多款百万下载量移动应用被曝安全隐患:代码未加密硬编码凭证,可泄露用户数据

【来源:IT之家】

随意打赏

提交建议
微信扫一扫,分享给好友吧。