赛门铁克近期发布报告，指出多款热门移动应用程序由于开发阶段的错误和不良实践，导致其内置了未加密的硬编码凭证，危及用户数据安全。硬编码凭证是指在源代码中直接嵌入的明文密码或其他敏感信息，例如 SSH 密钥、API 密钥等。赛门铁克研究人员发现，包括 Pic Stitch、Meru Cabs、Sulekha Busines 等在内的多款应用都存在此类安全漏洞，其云服务凭证被硬编码且未加密，这使得任何能够访问应用程序二进制文件或源代码的人，都可能提取这些凭证并滥用它们，从而操控或窃取数据，导致严重的安全漏洞。

😠 **硬编码凭证的风险：** 硬编码凭证是指在源代码中直接嵌入的明文密码或其他敏感信息，例如 SSH 密钥、API 密钥等。这种做法会导致严重的安全漏洞，因为任何能够访问应用程序二进制文件或源代码的人，都可能提取这些凭证并滥用它们，从而操控或窃取数据。

🕵️ **赛门铁克研究发现：** 赛门铁克研究人员审查了多款热门移动应用代码，发现存在硬编码且未加密的云服务凭证。例如，Pic Stitch、Meru Cabs、Sulekha Busines 等应用中都存在微软 Azure Blob Storage 硬编码凭证，Crumbl、Eureka、Videoshop 等应用中则存在亚马逊硬编码凭证。

⚠️ **影响范围：** 这些存在硬编码凭证的应用下载量巨大，例如 Pic Stitch 超过 500 万次下载，Crumbl 则拥有 390 万条评价。这意味着，大量的用户数据可能面临风险。

🛡️ **安全建议：** 开发者应严格遵守安全编码规范，避免在源代码中直接嵌入敏感信息。同时，用户应谨慎选择应用，并及时更新应用版本，以降低安全风险。

IT之家 10 月 23 日消息，赛门铁克昨日（10 月 22 日）发布博文，报告多款热门移动应用程序由于开发阶段的错误和不良实践，导致其内置了未加密的硬编码凭证，危及用户数据。

IT之家简要解释下硬编码凭证（Hardcoded Credentials），是指在源代码中直接嵌入的明文密码或其他敏感信息（如 SSH 密钥、API 密钥等）。

赛门铁克研究人员审查了多款热门移动应用代码，发现了硬编码且未加密的云服务凭证。

赛门铁克研究人员表示：“这种危险的做法意味着，任何能够访问应用程序的二进制文件或源代码的人，都可能提取这些凭证并滥用它们，从而操控或窃取数据，导致严重的安全漏洞”。

Google Play 上发现存在云服务凭证的应用如下：

Pic Stitch：超过 500 万次下载，存在 Microsoft Azure Blob Storage 硬编码凭证

Meru Cabs – 超过 500 万次下载，发现存在微软 Azure Blob Storage 硬编码凭证

Sulekha Busines：超过 50 万次下载，发现存在微软 Azure Blob Storage 硬编码凭据

ReSound Tinnitus Relief：超过 50 万次下载，发现存在微软 Azure Blob Storage 硬编码凭证

Saludsa：超过 10 万次下载，发现存在微软 Azure Blob Storage 硬编码凭据

Chola Ms Break In 超过 10 万次下载，发现存在微软 Azure Blob Storage 硬编码凭证

EatSleepRIDE Motorcycle GPS：超过 10 万次下载，发现存在 Twilio 硬编码凭证

Beltone Tinnitus Calmer：超过 10 万次下载，发现存在微软 Azure Blob 存储硬编码凭据

苹果 App Store 上发现存在云服务凭证的应用如下

Crumbl：390 万条评价，发现存在亚马逊硬编码凭证

Eureka:40.21 万条评价，发现存在亚马逊硬编码凭证

Videoshop：35.79 万条评价，发现存在亚马逊硬编码凭证

Solitaire Clash: Win Real Cash： 24.48 万条评价，发现存在亚马逊硬编码凭证

Zap Surveys：23.5 万条评价，发现存在亚马逊硬编码凭证