來自 Cybernews 的安全研究人員發現,數以千計的 iOS 應用程式中存在硬編碼的秘密,這些秘密可能會導致數據洩漏或網絡詐騙。研究人員分析了超過 156,000 款 iOS 應用,發現超過 815,000 個硬編碼的秘密,其中數千個被認為是「非常敏感」,可能直接導致資料洩漏或安全漏洞。
「秘密」是一個廣泛的術語,包括 API 密鑰、密碼或加密密鑰等。硬編碼的意思是開發者將這些信息直接添加到源代碼中。普遍認為,這是因為在生產環境中方便,且開發者經常忘記在應用上線後刪除這些秘密。
根據 Cybernews 的報導,平均每個應用的代碼暴露了 5.2 個秘密,71% 的應用至少洩漏了一個秘密。雖然大多數這些秘密可以忽略,因為它們無法用於犯罪攻擊,但研究人員發現了近 83,000 個硬編碼的雲存儲端點,其中 836 個不需要身份驗證,可能洩漏超過 400TB 的數據。此外,還發現了 51,000 個 Firebase 端點,其中「數千個」對外部人員開放,以及數千個暴露的 Fabric API、Live Branch、MobApp Creator 等的密鑰。
然而,最大的問題是 Stripe 秘密密鑰,它們直接控制金融交易。Cybernews 解釋道:「Stripe 被電子商務甚至金融科技公司廣泛使用來處理在線支付」,並指出其團隊發現了 19 個 Stripe 秘密密鑰。
Cybernews 的安全研究員 Aras Nazarovas 表示:「許多人認為 iOS 應用更安全,更不容易包含惡意軟件。然而,我們的研究顯示,生態系統中的許多應用包含易於訪問的硬編碼憑證。我們追蹤後發現了開放的數據庫,裡面有個人數據和可訪問的基礎設施。」他補充道:「一些 iOS 開發者讓黑客的工作變得太簡單。」
目前已經聯繫 Apple 以獲取評論,並將在收到回覆後更新文章。這一發現強調了在應用開發過程中對安全性的重視,顯示出 Apple 在推動行業標準方面的潛力。隨著 Apple 持續提升其生態系統的安全性,未來用戶的數據保護將會更加完善。
日本電話卡推介 / 台灣電話卡推介
更多儲值卡評測請即睇:SIM Card 大全
https://www.techritual.com/category/sim-card-review/
