移动应用中的致命漏洞：数百万Android和iOS用户面临风险

据赛门铁克的安全技术和响应团队分析，Google Play和Apple App Store上广泛使用的移动应用中存在硬编码且未加密的云服务凭证，这使数百万用户面临重大安全问题。

这一问题源于开发者的懒惰编程习惯，将凭证硬编码在代码中意味着任何人只要能够访问应用的二进制文件或源代码，就能获得后端基础设施的访问权限，从而可能窃取用户数据。这种做法使关键基础设施暴露于潜在攻击之下，危及用户数据和后端服务的安全，这些漏洞在iOS和Android平台上普遍存在，突显了向更安全开发实践转变的紧迫性。

以下是赛门铁克发现包含硬编码凭证的应用程序列表，但实际数量可能更多：
Pic Stitch：这款Android平台上的拼图编辑应用已被超过五百万用户评价，不幸的是，它包含了硬编码的AWS凭证，攻击者可以借此获取生产凭证，包括关联的Amazon S3桶名称、读写访问密钥和秘密密钥。
Eureka：这款调查应用已获得近五十万Apple和Android用户的评价，其应用中硬编码了AWS凭证，访问和秘密密钥以明文形式存储。
Videoshop：这款视频编辑应用的代码中包含未加密的AWS凭证，攻击者可以通过二进制文件窃取数据、访问后端基础设施，甚至可能导致其瘫痪。该应用已获得近四十万用户的评价。
Meru Cabs：这款印度叫车应用有约五百万用户，其应用中包含硬编码的Azure凭证，攻击者可以借此访问云存储设置。
Sulekha Business：这款网络和客户开发应用有约五十万用户，其官方网站上强调了安全性，但赛门铁克的分析显示，该应用包含多个可供攻击者利用的硬编码Azure凭证，并使用明文连接字符串访问Azure Blob Storage容器。
ReSound Tinnitus Relief：这款声音治疗应用有约五十万用户，其Azure Blob Storage凭证以易于识别的方式嵌入应用中。同样，Android平台上的Beltone Tinnitus Calmer应用也有约十万用户，也存在类似问题。
EatSleepRIDE Motorcycle GPS：这款论坛应用包含硬编码的Twilio凭证，使其约十万用户面临风险。

赛门铁克建议用户安装第三方安全系统以防止这些编程错误带来的后果，并推荐使用其提供的安全解决方案。用户还应谨慎对待应用请求的权限，并仅从可信来源安装应用。或者，开发者可以编写更好的代码，使用如AWS Secrets Manager或Azure Key Vault等服务来安全存储敏感信息。赛门铁克的研究人员还建议对所有内容进行加密，并定期进行代码审查和安全扫描。