在数百个Android应用程序中发现的敏感访问令牌和密钥
许多开发人员仍然将敏感的访问令牌和API键嵌入到其移动应用程序中,将数据和其他资产存放在风险的各种第三方服务上。
通过网络安全公司进行的一项新的研究,可在16,000份Android申请中缺乏差异,显示大约2,500名有一些类型的秘密凭证硬编码。该应用程序被公司于11月发布的在线工具扫描。
当提供的访问范围限制时,可以对第三方服务进行第三方服务的硬编码访问密钥。但是,在某些情况下,开发人员包括解锁对可以被滥用的敏感数据或系统的访问的键。
这是由于缺乏的304个应用程序,其中包含了Twitter,Dropbox,Flickr,Instagram,Slack或Amazon Web服务(AWS)等服务的访问令牌和API键。
16,000中的三百个应用程序可能似乎不太喜欢,但根据其类型和与之关联的特权,单个泄漏的凭证可能会导致大规模的数据泄露。
例如,Slack令牌可以提供开发团队使用的聊天日志,这些可以包含用于数据库,连续集成平台和其他内部服务的额外凭据,更不用说共享文件和文档。
去年,网站安全公司检测的研究人员发现了超过1,500个松弛访问令牌,该令牌已被硬编码为GitHub托管的开源项目。
AWS访问密钥也已在过去的GitHub项目中找到了数千个,迫使亚马逊开始积极扫描此类泄漏并撤销暴露的键。
在分析的Android应用程序中发现的一些AWS键具有允许创建和删除实例的完全权限,因此贫困的研究人员在博客文章中表示。
删除AWS实例可能导致数据丢失和停机时间,同时创建它们可以为受害者提供计算能力的攻击者“费用。
这不是第一次在移动应用中找到了API键,访问令牌和其他秘密凭据。2015年,德国达姆施塔特技术大学的研究人员揭示了存储在Android和IOS应用程序中的后端服务(BAAS)框架的超过1,000个访问凭据。这些凭证解锁了超过1850万数据库记录,其中包含5600万个数据项,该数据项存储在BAAS提供商上的应用程序,如Facebook所拥有的解析,Cloudmine或AWS。
本月早些时候,安全研究员发布了一个名为Truffle Hog的开源工具,可以帮助公司和inpidual开发人员扫描他们的软件项目,以便在某些时候添加的秘密令牌,然后忘记了。
