CyberNews 安全研究人員發現數以千計的 Android 應用程式隱藏 « 硬編碼的秘密 »在他們的源代碼中。這可能包括使用者名稱、密碼、API 金鑰或原始程式碼中的其他重要資訊。這些憑證允許開發人員在內部與同行交換資料。
不幸的是,這種做法使資訊的機密性面臨風險。一旦進入代碼,« 硬編碼的秘密 »可能會發現自己受到海盜的擺佈。因此,它們會危及應用程式的安全。
「在 Android 應用程式的用戶端對敏感資料進行硬編碼是一個壞主意。在大多數情況下,它們可以通過逆向工程輕鬆獲得”CyberNews 研究員文森塔斯鮑博尼斯 (Vincentas Baubonis) 說。
逆向工程也稱為逆向工程,涉及分析電腦程式以剖析其內部工作原理。在應用程式的上下文中,攻擊者使用以下方式挖掘原始程式碼應用程式(Android 套件)。
Android應用程式原始碼的秘密
CyberNews 分析了 Play 商店中 33,334 個 Android 應用程式的程式碼。結論:所研究的 18,647 個應用程式在其原始程式碼中隱藏了敏感訊息,包括 API 金鑰。 17,767 個 Google API 金鑰可見。研究人員還發現了對任何訪客開放的資料庫連結。
例如,超過 14,000 個 URL 位址中繼到Firebase 資料庫被發現了。這些資料庫包含有關應用程式及其使用者的敏感資訊。超過 600 個連結重定向到可公開存取的資料庫。
CyberNews 也發現了指向線上文件儲存服務 Google Cloud Storage 的連結。最後,找到了與Facebook相關的數據。理論上,他們可以透過 Facebook 帳戶對應用程式發動 DDOS 攻擊。毫不奇怪,所有安全專家都建議不要絕不包含機密資訊在軟體的原始碼中。
Play 商店不安全
在調查過程中,研究人員發現Google 安全措施存在缺陷。顯然,Play 商店有時會忽略警告使用者存在惡意軟體。
“在 33,000 多個應用程式中,研究人員無法從 Google Drive 下載 44 個應用程序,儘管他們直接從 Play 商店下載這些應用程式沒有問題”,CyberNews 很驚訝。
該漏洞似乎可以讓用戶在其智慧型手機或平板電腦上安裝惡意應用程式。對研究人員來說,«很可能還有許多其他惡意應用程式下載的 »沒有警告。
惡意軟體在 Google 不知情的情況下進入 Play 商店的情況並不少見。最近,35 個 Android 應用程式感染惡意軟體是在商店裡發現的。
