硬编码的云凭证泄露在 Android 和
云服务凭证泄露:安卓和iOS应用的安全隐患
关键要点
- 一些广泛使用的应用暴露了硬编码的云服务凭证。
- 安卓应用如 Pic Stitch 和 Meru Cabs 暴露了亚马逊和微软 Azure 的凭证。
- 此问题也存在于 iOS 应用中,且可能导致严重的安全漏洞。
根据 的报告,广泛使用的应用在 和 Apple App Store 中存在硬编码和未加密的凭证,涉及多个云服务。分析显示,安卓应用 Pic Stitch 和 Meru Cabs,各自的下载量超过五百万,分别暴露了亚马逊和微软 Azure Blob Storage的硬编码凭证。Symantec 的研究还发现,Sulekha Business 和 ReSound Tinnitus Relief 应用中也存在 AzureBlob Storage 的硬编码凭证,这些应用的下载量均超过 50 万。而在 iOS 应用中,Crumbl、Eureka 和 Videoshop - Video Editor 等应用中也发现了亚马逊的硬编码凭证,其中 Crumbl 拥有超过 390 万的评分,Eureka 超过 40.21万,Videoshop 超过 35.79 万。
Symantec的研究人员指出:“这种危险的做法意味着,任何能够访问应用二进制文件或源代码的人,都可能提取这些凭证,并利用这些凭证进行数据篡改或外泄,从而导致严重的安全漏洞。”
安全建议:
- 用户应避免下载不明来源的应用。
- 开发者应定期检查和更新应用代码,防止敏感信息硬编码。
| 应用名称 | 平台 | 下载量 | 曝露的服务 |
|---|---|---|---|
| Pic Stitch | 安卓 | > 500万 | 亚马逊 |
| Meru Cabs | 安卓 | > 500万 | 微软 Azure |
| Sulekha Business | 安卓 | > 50万 | 微软 Azure |
| ReSound Tinnitus Relief | 安卓 | > 50万 | 微软 Azure |
| Saludsa | 安卓 | > 10万 | 微软 Azure |
| Crumbl | iOS | > 390万 | 亚马逊 |
| Eureka | iOS | > 40.21万 | 亚马逊 |
| Videoshop - Video Editor | iOS | > 35.79万 | 亚马逊 |
该报告提醒用户和开发者注意这些潜在的安全风险,并采取防范措施,以保护用户信息和数据安全。
Recent Posts
注册优惠
Leave a Reply