大量開發者會將訪問token和API密鑰硬編碼至Android應用

現如今，許多開發者仍然習慣於將access token（訪問憑證）和API key（API密鑰）等敏感內容編碼到移動APP中去，將依託於各種第三方服務的數據資產置於風險中。

機密信息易遭泄漏

網路安全公司Fallible一項最新的研究結果（點擊查看）顯示：在統計到的16，000多個安卓應用中，有約2，500個應用都出現開發者將機密憑證硬編碼進去的情況。統計工具為去年11月該公司生產的在線掃描程序。

應該說，當需要提供的訪問只在有限的範圍內時，將第三方服務的訪問憑證硬編碼到應用程序中的做法還是可以理解的。

但在某些情況下，開發者如果將允許訪問機密數據或關鍵系統的key也加入進去，就很容易產生問題。

比如，在Fallible本次的統計中，有304個APP就出現了這種情況。這些APP包含了為如Twitter，Dropbox，Flickr，Instagram，Slack，AWS（亞馬遜雲計算）等服務準備的access token和API key。

對比16，000的統計總數，這300多個應用可能不算多，但是從它們所牽涉的服務類型和訪問許可權來看，一個小小的key就可能會導致大量的數據泄漏。

就拿Slack（流行的辦公交流應用）token來說，這種token可允許你訪問開發團隊使用的聊天日誌，而這些日誌中很可能包含如資料庫，持續集成平台和其他內部服務的更多憑證，更不要說訪問共享文件等內容。

去年，網站安全公司Detectify就曾發現超過1，500個Slack token被硬編碼到GitHub上的開源項目中。（了解更多詳情）

不僅如此，AWS訪問憑證也曾被大量發現於GitHub的項目中，這使得亞馬遜不得不主動出擊掃描這些漏洞並棄用遭泄漏的密鑰。

據Faillible的研究人員在博客中介紹，許多被發現的AWS服務密鑰都提供了可以創建和刪除實例（instance）的許可權。刪除AWS instance會導致數據損失和服務停止，而創建instance則在給黑客帶來便利的同時，由受害者來買單。

不過，這也不是人們第一次在移動應用中發現API key, access token等機密憑證。2015年德國達姆施塔特市科技大學的研究人員曾在安卓和iOS系統中發現超過1，000個用於BaaS（後端即服務）框架的訪問憑證。

這些憑證允許訪問超過1850萬條資料庫記錄，包含應用開發者存儲在Pares，CloudMine，AWS等BaaS服務提供商那裡的56，000，000個數據項目。

Truffle Hog

本月的早些時候，一名安全研究人員曾公布了一款叫做「Truffle Hog」（松露豬，專門在秋天嗅探埋藏在土裡的松露）的工具。

此款工具能幫助公司及獨立開發者掃描他們的程序，尋找那些可能早些時候添加之後卻又忘記了的秘密token。如果你有興趣了解這款工具的話，點擊這裡。

*參考來源：

NetworkWorld

，FB小編cxt編譯，引用請註明來自FreeBuf.COM