IT 之家 10 月 23 日音书,赛门铁克昨日(10 月 22 日)发布博文,陈说多款热点出动期骗形态由于诞生阶段的诞妄和不良践诺奇米影视第4色,,导致其内置了未加密的硬编码凭证,危及用户数据。
IT 之家简要施展注解下硬编码凭证(Hardcoded Credentials),是指在源代码中平直镶嵌的明文密码或其他敏锐信息(如 SSH 密钥、API 密钥等)。
赛门铁克磋议东说念主员审查了多款热点出动期骗代码,发现了硬编码且未加密的云作事凭证。
Pic Stitch 代码中曝光的 Key
赛门铁克磋议东说念主员暗示:"这种危境的作念法意味着,任何简略拜访期骗形态的二进制文献或源代码的东说念主,皆可能索求这些凭证并销耗它们,从而操控或窃取数据,导致严重的安全舛讹"。
Google Play 上发现有在云作事凭证的期骗如下:
Pic Stitch:最初 500 万次下载,存在 Microsoft Azure Blob Storage 硬编码凭证
Meru Cabs – 最初 500 万次下载奇米影视第4色,,发现有在微软 Azure Blob Storage 硬编码凭证
Sulekha Busines:最初 50 万次下载,发现有在微软 Azure Blob Storage 硬编码把柄
ReSound Tinnitus Relief:最初 50 万次下载,发现有在微软 Azure Blob Storage 硬编码凭证
Saludsa:最初 10 万次下载,发现有在微软 Azure Blob Storage 硬编码把柄
Chola Ms Break In 最初 10 万次下载,发现有在微软 Azure Blob Storage 硬编码凭证
EatSleepRIDE Motorcycle GPS:最初 10 万次下载,发现有在 Twilio 硬编码凭证
Beltone Tinnitus Calmer:最初 10 万次下载,发现有在微软 Azure Blob 存储硬编码把柄
Crumbl 代码库中的 AWS 凭证
苹果 App Store 上发现有在云作事凭证的期骗如下
Crumbl:390 万条评价,发现有在亚马逊硬编码凭证
偷拍图片Eureka:40.21 万条评价,发现有在亚马逊硬编码凭证
Videoshop:35.79 万条评价,发现有在亚马逊硬编码凭证
Solitaire Clash: Win Real Cash: 24.48 万条评价,发现有在亚马逊硬编码凭证
Zap Surveys:23.5 万条评价,发现有在亚马逊硬编码凭证
奇米影视第4色,