赛门铁克公司在近日发布的一项研究报告中指出,多款广受欢迎的移动应用程序因开发过程中存在的错误和不良实践,导致内置了未加密的硬编码凭证,严重威胁用户数据安全。硬编码凭证,即在源代码中直接嵌入的明文密码或其他敏感信息,如SSH密钥、API密钥等,成为安全隐患。
研究人员审查了多款热门移动应用的代码,并发现了硬编码且未加密的云服务凭证。这些凭证若被不法分子获取,将可能导致严重的数据泄露和滥用风险。
在Google Play平台上,多款应用被发现存在硬编码凭证问题。其中,Pic Stitch等应用因存在Microsoft Azure Blob Storage硬编码凭证而备受关注。
苹果App Store上的多款应用也未能幸免。Crumbl等应用被发现存在亚马逊硬编码凭证,给用户数据安全带来极大威胁。
赛门铁克研究人员强调,这种硬编码凭证的做法极为危险,任何能够访问应用二进制文件或源代码的人都有可能提取并滥用这些凭证,从而操控或窃取数据。
