多款百萬下載量移動應用被曝安全隱患：代碼未加密硬編碼憑證，可泄露用戶數據

10 月 23 日消息，賽門鐵克昨日（10 月 22 日）發布博文，報告多款熱門移動應用程序由于開發階段的錯誤和不良實踐，導致其內置了未加密的硬編碼憑證，危及用戶數據。

IT之家簡要解釋下硬編碼憑證（Hardcoded Credentials），是指在源代碼中直接嵌入的明文密碼或其他敏感信息（如 SSH 密鑰、API 密鑰等）。

賽門鐵克研究人員審查了多款熱門移動應用代碼，發現了硬編碼且未加密的云服務憑證。

Pic Stitch 代碼中曝光的 Key

賽門鐵克研究人員表示：“這種危險的做法意味著，任何能夠訪問應用程序的二進制文件或源代碼的人，都可能提取這些憑證并濫用它們，從而操控或竊取數據，導致嚴重的安全漏洞”。

Google Play 上發現存在云服務憑證的應用如下：

Pic Stitch：超過 500 萬次下載，存在 Microsoft Azure Blob Storage 硬編碼憑證

Meru Cabs – 超過 500 萬次下載，發現存在微軟 Azure Blob Storage 硬編碼憑證

Sulekha Busines：超過 50 萬次下載，發現存在微軟 Azure Blob Storage 硬編碼憑據

ReSound Tinnitus Relief：超過 50 萬次下載，發現存在微軟 Azure Blob Storage 硬編碼憑證

Saludsa：超過 10 萬次下載，發現存在微軟 Azure Blob Storage 硬編碼憑據

Chola Ms Break In 超過 10 萬次下載，發現存在微軟 Azure Blob Storage 硬編碼憑證

EatSleepRIDE Motorcycle GPS：超過 10 萬次下載，發現存在 Twilio 硬編碼憑證

Beltone Tinnitus Calmer：超過 10 萬次下載，發現存在微軟 Azure Blob 存儲硬編碼憑據

Crumbl 代碼庫中的 AWS 憑證

蘋果 App Store 上發現存在云服務憑證的應用如下

Crumbl：390 萬條評價，發現存在亞馬遜硬編碼憑證

Eureka:40.21 萬條評價，發現存在亞馬遜硬編碼憑證

Videoshop：35.79 萬條評價，發現存在亞馬遜硬編碼憑證

Solitaire Clash: Win Real Cash： 24.48 萬條評價，發現存在亞馬遜硬編碼憑證

Zap Surveys：23.5 萬條評價，發現存在亞馬遜硬編碼憑證

【來源：IT之家】