访问数百个Android应用中的访问令牌和键
数字弹射旨在加速AR和VR启动到长期成功
英国和美国指定网络基础设施的俄罗斯
政府给予六个月来重写窥探者的宪章
Spacex从历史悠久的美国宇航局垫推出 - 然后坚持着陆
金融分析师预测扁平MAC销售
13个支付200k薪水的技术工作
Microsoft使用新方法来分发Windows 10更新KB 3216755
SD-WAN仍然过于复杂,调查显示
OFCOM打开5G谱拍卖
5G频谱蹲便器导致$ 100M FCC精细
专家们说,组织可以使用GDPR模糊性来对法院的罚款进行比赛罚款
详情出现了英特尔的机器人超小型欧几里德电脑
谷歌如何“缩放和提升”现实
尽管隐私丑闻,Facebook帖子第一季度
AT&T,IBM,诺基亚加入将IOT Systems更安全
期待更多A.I.在Apple的iOS企业未来
移动安全公司为旧漏洞提供现金到黑客
自主无人机将飞为紧急服务的危险区域
英国政府出版英国网络安全的出口战略
为什么印度在科技比英国有更高的妇女?
世界上最大的电池储存变电站现已居住
Oracle Q3 2017-18结果见云收入增长至1.6亿美元
6名参议员说,美国公司正在隐藏他们的外语
N.Y.批准美国最大的美国近海风电场
奥巴马通勤曼宁,一个维基解密来源
OpenReach开始倒计时到模拟电话服务的结尾
欧盟反垄断监管机构赞美Apple,亚马逊的Audiobooks交易
亚马逊的理想机器人看起来像什么
Apple与竞争对手合作推动A.I.研究
Windows 10使用略微上升,边缘仍然是迷人的
荷兰骑自行车的文化泵起自行车初创公司
福特为无人驾驶汽车泵成AI的$ 1B
现在您可以在购买前尝试微软的超级化表面中心
肯尼亚太阳能供应商倾向于物联网和金融气的新增长
AMD将Ryzen达到强大的开始作为与英特尔织机的芯片战斗
网络攻击者可以在几小时内突破目标,报告显示
HS。专注于新加速器计划中的医疗初创公司的全球扩展
爱尔兰眼睛Brexit-触发的技术投资
分析师进入微软传闻的Windows 10云
lambdascript项目为python添加了功能编程
Facebook计划在丹麦的新数据中心
IBM承认储存结果差,但承诺做得更好
英特尔适用于下一代Optane SSD,内存技术
澳大利亚医疗保健服务受到数据泄露的最多袭击
大多数CIO对“大肆炒作”区块链,找到了Gartner
AT&T今年在Indy和Austin中推出5G无线
NSA呼吁网络安全社区协作
IBM为消费者品牌提供Watson-Powered Voice Assistant
AT&T扩展了NetBond服务以保护IOT连接
您的位置:首页 >产品 > 智能硬件 >

访问数百个Android应用中的访问令牌和键

2021-08-04 10:44:09 [来源]:

许多开发人员仍然将敏感的访问令牌和API键嵌入到其移动应用程序中,将数据和其他资产存放在风险的各种第三方服务上。

通过网络安全公司进行的一项新的研究,可在16,000份Android申请中缺乏差异,显示大约2,500名有一些类型的秘密凭证硬编码。该应用程序被公司于11月发布的在线工具扫描。

[对此故事发表评论,请访问Computerworld“的Facebook页面。

当提供的访问范围限制时,可以对第三方服务进行第三方服务的硬编码访问密钥。但是,在某些情况下,开发人员包括解锁对可以被滥用的敏感数据或系统的访问的键。

这是由于缺乏的304个应用程序,其中包含了Twitter,Dropbox,Flickr,Instagram,Slack或Amazon Web服务(AWS)等服务的访问令牌和API键。

16,000中的三百个应用程序可能似乎不太喜欢,但根据其类型和与之关联的特权,单个泄漏的凭证可能会导致大规模的数据泄露。

例如,Slack令牌可以提供开发团队使用的聊天日志,这些可以包含用于数据库,连续集成平台和其他内部服务的额外凭据,更不用说共享文件和文档。

去年,网站安全公司检测的研究人员发现了超过1,500个松弛访问令牌,该令牌已被硬编码为GitHub托管的开源项目。

AWS访问密钥也已在过去的GitHub项目中找到了数千个,迫使亚马逊开始积极扫描此类泄漏并撤销暴露的键。

在分析的Android应用程序中发现的一些AWS键具有允许创建和删除实例的完全权限,因此贫困的研究人员在博客文章中表示。

删除AWS实例可能导致数据丢失和停机时间,同时创建它们可以为受害者提供计算能力的攻击者“费用。

这不是第一次在移动应用中找到了API键,访问令牌和其他秘密凭据。2015年,德国达姆施塔特技术大学的研究人员揭示了存储在Android和IOS应用程序中的后端服务(BAAS)框架的超过1,000个访问凭据。这些凭证解锁了超过1850万数据库记录,其中包含5600万个数据项,该数据项存储在BAAS提供商上的应用程序,如Facebook所拥有的解析,Cloudmine或AWS。

本月早些时候,安全研究员发布了一个名为Truffle Hog的开源工具,可以帮助公司和inpidual开发人员扫描他们的软件项目,以便在某些时候添加的秘密令牌,然后忘记了。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。