10 月 23 日消息，賽門鐵克昨日（10 月 22 日）發(fā)布博文，報告多款熱門移動應(yīng)用程序由于開發(fā)階段的錯誤和不良實(shí)踐，導(dǎo)致其內(nèi)置了未加密的硬編碼憑證，危及用戶數(shù)據(jù)。

IT之家簡要解釋下硬編碼憑證（Hardcoded Credentials），是指在源代碼中直接嵌入的明文密碼或其他敏感信息（如 SSH 密鑰、API 密鑰等）。

賽門鐵克研究人員審查了多款熱門移動應(yīng)用代碼，發(fā)現(xiàn)了硬編碼且未加密的云服務(wù)憑證。

Pic Stitch 代碼中曝光的 Key

賽門鐵克研究人員表示：“這種危險的做法意味著，任何能夠訪問應(yīng)用程序的二進(jìn)制文件或源代碼的人，都可能提取這些憑證并濫用它們，從而操控或竊取數(shù)據(jù)，導(dǎo)致嚴(yán)重的安全漏洞”。

Google Play 上發(fā)現(xiàn)存在云服務(wù)憑證的應(yīng)用如下：

Pic Stitch：超過 500 萬次下載，存在 Microsoft Azure Blob Storage 硬編碼憑證

Meru Cabs – 超過 500 萬次下載，發(fā)現(xiàn)存在微軟 Azure Blob Storage 硬編碼憑證

Sulekha Busines：超過 50 萬次下載，發(fā)現(xiàn)存在微軟 Azure Blob Storage 硬編碼憑據(jù)

ReSound Tinnitus Relief：超過 50 萬次下載，發(fā)現(xiàn)存在微軟 Azure Blob Storage 硬編碼憑證

Saludsa：超過 10 萬次下載，發(fā)現(xiàn)存在微軟 Azure Blob Storage 硬編碼憑據(jù)

Chola Ms Break In 超過 10 萬次下載，發(fā)現(xiàn)存在微軟 Azure Blob Storage 硬編碼憑證

EatSleepRIDE Motorcycle GPS：超過 10 萬次下載，發(fā)現(xiàn)存在 Twilio 硬編碼憑證

Beltone Tinnitus Calmer：超過 10 萬次下載，發(fā)現(xiàn)存在微軟 Azure Blob 存儲硬編碼憑據(jù)

Crumbl 代碼庫中的 AWS 憑證

蘋果 App Store 上發(fā)現(xiàn)存在云服務(wù)憑證的應(yīng)用如下

Crumbl：390 萬條評價，發(fā)現(xiàn)存在亞馬遜硬編碼憑證

Eureka:40.21 萬條評價，發(fā)現(xiàn)存在亞馬遜硬編碼憑證

Videoshop：35.79 萬條評價，發(fā)現(xiàn)存在亞馬遜硬編碼憑證

Solitaire Clash: Win Real Cash： 24.48 萬條評價，發(fā)現(xiàn)存在亞馬遜硬編碼憑證

Zap Surveys：23.5 萬條評價，發(fā)現(xiàn)存在亞馬遜硬編碼憑證

【來源：IT之家】