多款流行的 iOS 和 Android 移动应用程序都带有 Amazon Web Services (AWS) 和 Microsoft Azure Blob Storage 等云服务的硬编码、未加密凭证，从而将用户数据和源代码暴露于安全漏洞之中。

暴露此类凭据很容易导致未经授权访问包含敏感用户数据的存储桶和数据库。除此之外，攻击者还可以利用它们来操纵或窃取数据。

根据赛门铁克的报告，这些密钥存在于应用程序的代码库中，是因为开发阶段的错误和不良做法。

赛门铁克解释说：“最近的分析发现了一个令人不安的趋势：一些广泛使用的应用程序被发现在其代码库中包含硬编码和未加密的云服务凭证。”

研究人员表示：“这种危险的做法意味着，任何有权访问该应用程序的二进制文件或源代码的人都可能提取这些凭证并滥用它们来操纵或窃取数据，从而导致严重的安全漏洞。”

赛门铁克表示，其研究人员在 Google Play 上的以下应用中发现了云服务凭证：

Pic Stitch – 500 万次以上下载 – Amazon 硬编码凭证

Meru Cabs – 500 万次以上下载 – Microsoft Azure Blob 存储硬编码凭证

Sulekha Busines s – 500K+ 次下载 – Microsoft Azure Blob Storage 硬编码凭据

ReSound Tinnitus Relief – 500K+ 下载量 – Microsoft Azure Blob Storage 硬编码凭证

Saludsa ——10 万次以上下载——Microsoft Azure Blob Storage 硬编码凭证

Chola Ms Break In – 100K+ 次下载 – Microsoft Azure Blob Storage 硬编码凭据

EatSleepRIDE 摩托车 GPS – 10 万次以上下载 – Twilio 硬编码凭证

Beltone Tinnitus Calmer – 10 万次以上下载 – Microsoft Azure Blob Storage 硬编码凭证

Pic Stitch 代码上的暴露的凭证

他们还在苹果应用商店中列出的几款热门应用中发现了凭证：

Crumbl – 390万+评分 – 亚马逊硬编码凭证

Eureka：通过调查赚钱 – 402.1K+ 评分 – 亚马逊硬编码凭证

Videoshop – 视频编辑器– 357.9K+ 评分 – Amazon 硬编码凭证

Solitaire Clash：赢得真实现金– 244.8K+ 评分 – 亚马逊硬编码凭证

Zap Surveys – 轻松赚钱– 235K+ 评分 – 亚马逊硬编码凭证

Crumbl 代码库中的 AWS 凭证

值得注意的是，谷歌在 Play Store 中显示的是应用程序生命周期内的总下载次数，并不反映活跃安装次数。

您的手机上存在上述任何应用程序并不意味着您的个人数据已被盗，但意味着您的数据是可访问的，并且黑客可能会窃取这些数据，除非开发人员采取行动并消除风险。

2022 年 9 月，赛门铁克对此风险发出了警报，强调其研究人员发现超过1,800 个 iOS 和 Android 应用程序包含 AWS 凭证，其中 77% 的应用程序在代码库中拥有有效的访问令牌。

研究人员建议开发人员遵循最佳实践来保护移动应用程序中的敏感信息。

这包括使用环境变量存储凭证、使用机密管理工具（例如 AWS Secrets Manager、Azure Key Vault）、加密数据、定期代码审查和审计，以及在开发过程早期集成自动安全扫描以检测敏感数据或安全问题。

赛门铁克的报告原文：https://www.security.com/threat-intelligence/exposing-danger-within-hardcoded-cloud-credentials-popular-mobile-apps

新闻链接：

https://www.bleepingcomputer.com/news/security/aws-azure-auth-keys-found-in-android-and-ios-apps-used-by-millions/