赛门铁克公司近日发布了一项重要安全警示,指出多款广受欢迎的移动应用程序因开发不当,内置了未加密的硬编码凭证,严重威胁用户数据安全。硬编码凭证,即直接在源代码中嵌入的明文密码或敏感信息,如SSH密钥、API密钥等,成为了安全隐患的源头。
研究人员深入审查了多款移动应用代码,发现了令人担忧的问题。其中,多款应用在Google Play上拥有数百万次下载量,却存在硬编码且未加密的云服务凭证。
在Google Play上,Pic Stitch、Meru Cabs等多款应用被发现存在微软Azure Blob Storage硬编码凭证。而苹果App Store上的Crumbl、Eureka等应用则被发现存在亚马逊硬编码凭证。
赛门铁克研究人员强调,这种危险的做法使得任何能够访问应用二进制文件或源代码的人,都可能轻松提取凭证并滥用,进而操控或窃取数据,造成严重的安全漏洞。
