.hd-box .hd-fr

多款百万下载量移动应用被曝安全隐患:代码未加密硬编码凭证,可泄露用户数据

2024-10-23 11:21IT之家(故渊)21评

IT之家 10 月 23 日消息,赛门铁克昨日(10 月 22 日)发布博文,报告多款热门移动应用程序由于开发阶段的错误和不良实践,导致其内置了未加密的硬编码凭证,危及用户数据。

IT之家简要解释下硬编码凭证(Hardcoded Credentials),是指在源代码中直接嵌入的明文密码或其他敏感信息(如 SSH 密钥、API 密钥等)。

赛门铁克研究人员审查了多款热门移动应用代码,发现了硬编码且未加密的云服务凭证。

Pic Stitch 代码中曝光的 Key

赛门铁克研究人员表示:“这种危险的做法意味着,任何能够访问应用程序的二进制文件或源代码的人,都可能提取这些凭证并滥用它们,从而操控或窃取数据,导致严重的安全漏洞”。

Google Play 上发现存在云服务凭证的应用如下:

Crumbl 代码库中的 AWS 凭证

苹果 App Store 上发现存在云服务凭证的应用如下

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

下载IT之家APP,分享赚金币换豪礼
相关文章
大家都在买广告
热门评论
查看更多评论