多款百万下载量移动应用被曝安全隐患:代码未加密硬编码凭证,可泄露用户数据
2024-10-23 14:27
10 月 23 日消息,赛门铁克昨日(10 月 22 日)发布博文,报告多款热门移动应用程序由于开发阶段的错误和不良实践,导致其内置了未加密的硬编码凭证,危及用户数据。
IT之家简要解释下硬编码凭证(Hardcoded Credentials),是指在源代码中直接嵌入的明文密码或其他敏感信息(如 SSH 密钥、API 密钥等)。
赛门铁克研究人员审查了多款热门移动应用代码,发现了硬编码且未加密的云服务凭证。
Pic Stitch 代码中曝光的 Key
赛门铁克研究人员表示:“这种危险的做法意味着,任何能够访问应用程序的二进制文件或源代码的人,都可能提取这些凭证并滥用它们,从而操控或窃取数据,导致严重的安全漏洞”。
Google Play 上发现存在云服务凭证的应用如下:
Pic Stitch:超过 500 万次下载,存在 Microsoft Azure Blob Storage 硬编码凭证
Meru Cabs – 超过 500 万次下载,发现存在微软 Azure Blob Storage 硬编码凭证
Sulekha Busines:超过 50 万次下载,发现存在微软 Azure Blob Storage 硬编码凭据
ReSound Tinnitus Relief:超过 50 万次下载,发现存在微软 Azure Blob Storage 硬编码凭证
Saludsa:超过 10 万次下载,发现存在微软 Azure Blob Storage 硬编码凭据
Chola Ms Break In 超过 10 万次下载,发现存在微软 Azure Blob Storage 硬编码凭证
EatSleepRIDE Motorcycle GPS:超过 10 万次下载,发现存在 Twilio 硬编码凭证
Beltone Tinnitus Calmer:超过 10 万次下载,发现存在微软 Azure Blob 存储硬编码凭据
Crumbl 代码库中的 AWS 凭证
苹果 App Store 上发现存在云服务凭证的应用如下
Crumbl:390 万条评价,发现存在亚马逊硬编码凭证
Eureka:40.21 万条评价,发现存在亚马逊硬编码凭证
Videoshop:35.79 万条评价,发现存在亚马逊硬编码凭
相关推荐
两家投资公司拟斥资160亿美元收购赛门铁克赛门铁克拟在全球裁员约1000人
科技晚报:苹果在贵州建立数据中心 汉语把谷歌绕晕了?
安全领域大动作 赛门铁克拟24亿美元收购LifeLock
赛门铁克宣布裁员和关闭一些设施
<返回首页
Copyright CmsTop.com
2026年04月14日 15:20:28