近日,Check Point研究人员发现:过去几个月,共有23个APP的手机应用开发者在配置和融入第三方云服务时,没有遵循最佳实践导致开发者内部资源数据和用户个人数据处于危险中。大多数APP下载量超过1000万,累计有超过1亿用户数据泄露,包括邮件地址、密码、隐私会话、设备位置、用户id等敏感信息。
实时数据库可以让应用开发者在云端保存数据,确保与每个连接的客户端实时同步。该服务可以解决应用开发过程中的许多问题,确保数据库支持所有的客户端平台。但研究人员发现许多应用开发者并没有配置实时数据库的基本功能——认证。
研究人员发现,从这些开放的数据库中可以恢复出邮件地址、密码、隐私会话、设备位置、用户id等敏感信息。如果恶意攻击者获得了这些数据的访问权限,就可能引发欺诈、身份窃取等恶意行为。
云服务是开发者或安装的应用用来分享文件的一种很好的解决方案。比如,两个APP可以通过云服务共享截图信息。但如果开发者将密钥和访问密钥嵌入到服务中,那么通过云服务共享数据也可能会引发风险。研究人员分析发现,通过应用的文件,可以恢复出授予云服务文件访问权限的密钥。
许多开发者也知道在应用中存储云服务秘钥是不安全的。研究人员分析多个APP发现,许多开发者尝试通过一些方法来进行补救,但是并没有修复密钥存储的问题。比如,Jadx应用用base64编码来隐藏密钥,但是base64解码非常容易,此外甚至不需要解码,只需要复制base64编码的秘钥就可以访问对应的内容。
声明:免责声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,也不承认相关法律责任。如果您发现本社区中有涉嫌抄袭的内容,请发
送邮件至:operations@xinnet.com进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。本站原创内容未经允许不得转载,或转载时
需注明出处:新网idc知识百科