多款百万下载量移动应用被曝安全隐患：代码未加密硬编码凭证，可泄露用户数据

罗杰 • 2024年 10月 23日 pm3:08 • 手机 • 阅读 147

IT之家 10 月 23 日消息，赛门铁克昨日（10 月 22 日）发布博文，报告多款热门移动应用程序由于开发阶段的错误和不良实践，导致其内置了未加密的硬编码凭证，危及用户数据。

IT之家简要解释下硬编码凭证（Hardcoded Credentials），是指在源代码中直接嵌入的明文密码或其他敏感信息（如 SSH 密钥、API 密钥等）。

赛门铁克研究人员审查了多款热门移动应用代码，发现了硬编码且未加密的云服务凭证。

Pic Stitch 代码中曝光的 Key

赛门铁克研究人员表示：“这种危险的做法意味着，任何能够访问应用程序的二进制文件或源代码的人，都可能提取这些凭证并滥用它们，从而操控或窃取数据，导致严重的安全漏洞”。

Google Play 上发现存在云服务凭证的应用如下：

Crumbl 代码库中的 AWS 凭证

苹果 App Store 上发现存在云服务凭证的应用如下

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。

文章来源于互联网:IT之家-多款百万下载量移动应用被曝安全隐患：代码未加密硬编码凭证，可泄露用户数据