让不懂建站的用户快速建站,让会建站的提高建站效率!
10月23日,赛门铁克发布施展称多款热点移动愚弄递次由于建筑阶段的伪善和不良握行,内置了未加密的硬编码凭证,危及用户数据。硬编码凭证是指在源代码中平直镶嵌的明文密码或其他敏锐信息,如SSH密钥、API密钥等。
赛门铁克的掂量东说念主员审查了多款热点愚弄的代码,发现了这些硬编码且未加密的云劳动凭证。掂量东说念主员指出,这种作念法意味着任何东说念主独一大略看望愚弄递次的二进制文献或源代码,就可能索求这些凭证并奢华它们,操控或窃取数据,形成严重安全错误。
在Google Play上发现有在云劳动凭证的愚弄包括:Pic Stitch(跳跃500万次下载)、Meru Cabs(跳跃500万次下载)、Sulekha Business(跳跃50万次下载)、ReSound Tinnitus Relief(跳跃50万次下载)、Saludsa(跳跃10万次下载)、Chola Ms Break In(跳跃10万次下载)、EatSleepRIDE Motorcycle GPS(跳跃10万次下载)以及Beltone Tinnitus Calmer(跳跃10万次下载)。这些愚弄均被发现含有微软Azure Blob Storage的硬编码左证,而EatSleepRIDE Motorcycle GPS则波及Twilio的硬编码凭证。
苹果App Store上也发现了相通问题,Crumbl(390万条评价)、Eureka(40.21万条评价)、Videoshop(35.79万条评价)、Solitaire Clash: Win Real Cash(24.48万条评价)和Zap Surveys(23.5万条评价)齐被发现有在亚马逊的硬编码凭证。