ChatGPT, Dall-E 3
资安业者赛门铁克(Symantec)本周警告,有多个热门的Android及iOS行动程式直接在程式中写入未加密的AWS或Azure凭证,将允许骇客破坏应用程式的后端基础设施、窃取用户资料,或是中断服务。
根据调查,有6款程式直接于程式码库中嵌入了未加密的AWS凭证,包括Google Play上的拼贴程式The Pic Stitch: Collage Maker,下载次数超过500万;其它3款则是位于App Store上,包括连锁甜点店的官方程式Crumbl,下载次数超过390万;填写问卷赚现金的调查应用程式Eureka: Earn money for surveys,有超过40万次的下载;超过35万下载量的影片编辑程式Videoshop – Video Editor Videoshop;超过24万次下载的纸牌游戏Solitaire Clash: Win Real Cash;以及超过23.5万次下载量的填问卷赚现金的调查程式Zap Surveys – Earn Easy Money。
另有6款程式嵌入的是微软Azure凭证,包括Google Play上的叫车程式Meru Cabs,下载超过500万次;一个针对印度市场的黄页程式Sulekha Business,下载超过50万次;以及可以用来缓解耳鸣的ReSound Tinnitus Relief;下载超过50万次;超过10万次下载的看病程式Saludsa;下载超过10万次的车辆检查程式Chola Ms Break In,以及另一个用来缓解耳鸣的Beltone Tinnitus Calmer,亦有逾10万次下载。
还有一款摩托车追踪暨社交程式EatSleepRIDE Motorcycle GPS是在程式码中写下了Twilio凭证,该程式亦有超过10万次的下载。
赛门铁克表示,此一趋势令人感到不安,这代表任何有权存取应用程式二进位档或原始程式码的使用者都能取得这些凭证,并滥用它们以摆布或窃取资料,带来严重的安全威胁。
该公司建议开发人员在建置程式时应该将敏感凭证储存于环境变数中,而不是直接嵌入至程式码;并应采用秘密管理工具以安全地储存及存取凭证;如果凭证必须储存于程式中,那么至少要将其加密;应该定期检查及审核程式码以预防类似或其它漏洞;在CI/CD 管道中整合自动安全扫描工具,以及早检测各种漏洞。