賽門鐵克公司在近日發(fā)布的一項(xiàng)研究報(bào)告中指出,多款廣受歡迎的移動應(yīng)用程序因開發(fā)過程中存在的錯誤和不良實(shí)踐,導(dǎo)致內(nèi)置了未加密的硬編碼憑證,嚴(yán)重威脅用戶數(shù)據(jù)安全。硬編碼憑證,即在源代碼中直接嵌入的明文密碼或其他敏感信息,如SSH密鑰、API密鑰等,成為安全隱患。
研究人員審查了多款熱門移動應(yīng)用的代碼,并發(fā)現(xiàn)了硬編碼且未加密的云服務(wù)憑證。這些憑證若被不法分子獲取,將可能導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露和濫用風(fēng)險(xiǎn)。
在Google Play平臺上,多款應(yīng)用被發(fā)現(xiàn)存在硬編碼憑證問題。其中,Pic Stitch等應(yīng)用因存在Microsoft Azure Blob Storage硬編碼憑證而備受關(guān)注。
蘋果App Store上的多款應(yīng)用也未能幸免。Crumbl等應(yīng)用被發(fā)現(xiàn)存在亞馬遜硬編碼憑證,給用戶數(shù)據(jù)安全帶來極大威脅。
賽門鐵克研究人員強(qiáng)調(diào),這種硬編碼憑證的做法極為危險(xiǎn),任何能夠訪問應(yīng)用二進(jìn)制文件或源代碼的人都有可能提取并濫用這些憑證,從而操控或竊取數(shù)據(jù)。
