多款百万下载量移动应用被曝安全隐患：代码未加密硬编码凭证，可泄露用户数据

图片地址：https://img.ithome.com/newsuploadfiles/2024/10/5e359027-30e9-4e97-9a30-2697a1423945.jpg?x-bce-process=image/format,f_auto

IT之家 10 月 23 日消息，赛门铁克昨日（10 月 22 日）发布博文，报告多款热门移动应用程序由于开发阶段的错误和不良实践，导致其内置了未加密的硬编码凭证，危及用户数据。IT之家简要解释下硬编码凭证（Hardcoded Credentials），是指在源代码中直接嵌入的明文密码或其他敏感信息（如 SSH 密钥、API 密钥等）。赛门铁克研究人员审查了多款热门移动应用代码，发现了硬编码且未加密的云服务凭证。Pic Stitch 代码中曝光的 Key赛门铁克研究人员表示：“这种危险的做法意味着，任何能够访问应用程序的二进制文件或源代码的人，都可能提取这些凭证并滥用它们，从而操控或窃取数据，导致严重的安全漏洞”。Google Play 上发现存在云服务凭证的应用如下：Pic Stitch：超过 500 万次下载，存在 Microsoft Azure Blob Storage 硬编码凭证Meru Cabs – 超过 500 万次