賽門鐵克公司在近日發(fā)布的一項(xiàng)研究報(bào)告中指出，多款廣受歡迎的移動(dòng)應(yīng)用程序因開(kāi)發(fā)過(guò)程中存在的錯(cuò)誤和不良實(shí)踐，導(dǎo)致內(nèi)置了未加密的硬編碼憑證，嚴(yán)重威脅用戶數(shù)據(jù)安全。硬編碼憑證，即在源代碼中直接嵌入的明文密碼或其他敏感信息，如SSH密鑰、API密鑰等，成為安全隱患。

研究人員審查了多款熱門移動(dòng)應(yīng)用的代碼，并發(fā)現(xiàn)了硬編碼且未加密的云服務(wù)憑證。這些憑證若被不法分子獲取，將可能導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露和濫用風(fēng)險(xiǎn)。

在Google Play平臺(tái)上，多款應(yīng)用被發(fā)現(xiàn)存在硬編碼憑證問(wèn)題。其中，Pic Stitch等應(yīng)用因存在Microsoft Azure Blob Storage硬編碼憑證而備受關(guān)注。

蘋果App Store上的多款應(yīng)用也未能幸免。Crumbl等應(yīng)用被發(fā)現(xiàn)存在亞馬遜硬編碼憑證，給用戶數(shù)據(jù)安全帶來(lái)極大威脅。

賽門鐵克研究人員強(qiáng)調(diào)，這種硬編碼憑證的做法極為危險(xiǎn)，任何能夠訪問(wèn)應(yīng)用二進(jìn)制文件或源代碼的人都有可能提取并濫用這些憑證，從而操控或竊取數(shù)據(jù)。