大量开发者会将访问token和API密钥硬编码至Android应用

现如今，许多开发者仍然习惯于将access token(访问凭证)和API key(API密钥)等敏感内容编码到移动APP中去，将依托于各种第三方服务的数据资产置于风险中。

成都创新互联服务项目包括岚山网站建设、岚山网站制作、岚山网页制作以及岚山网络营销策划等。多年来，我们专注于互联网行业，利用自身积累的技术优势、行业经验、深度合作伙伴关系等，向广大中小型企业、政府机构等提供互联网行业的解决方案，岚山网站推广取得了明显的社会效益与经济效益。目前，我们服务的客户以成都为中心已经辐射到岚山省份的部分城市，未来相信会继续扩大服务区域并继续获得客户的支持与信任！

机密信息易遭泄漏

网络安全公司Fallible一项最新的研究结果(点击查看)显示：在统计到的16，000多个安卓应用中，有约2，500个应用都出现开发者将机密凭证硬编码进去的情况。统计工具为去年11月该公司生产的在线扫描程序。

应该说，当需要提供的访问只在有限的范围内时，将第三方服务的访问凭证硬编码到应用程序中的做法还是可以理解的。但在某些情况下，开发者如果将允许访问机密数据或关键系统的key也加入进去，就很容易产生问题。

比如，在Fallible本次的统计中，有304个APP就出现了这种情况。这些APP包含了为如Twitter，Dropbox，Flickr，Instagram，Slack，AWS(亚马逊云计算)等服务准备的access token和API key。对比16，000的统计总数，这300多个应用可能不算多，但是从它们所牵涉的服务类型和访问权限来看，一个小小的key就可能会导致大量的数据泄漏。

就拿Slack(流行的办公交流应用)token来说，这种token可允许你访问开发团队使用的聊天日志，而这些日志中很可能包含如数据库，持续集成平台和其他内部服务的更多凭证，更不要说访问共享文件等内容。去年，网站安全公司Detectify就曾发现超过1，500个Slack token被硬编码到GitHub上的开源项目中。(了解更多详情)

不仅如此，AWS访问凭证也曾被大量发现于GitHub的项目中，这使得亚马逊不得不主动出击扫描这些漏洞并弃用遭泄漏的密钥。据Faillible的研究人员在博客中介绍，许多被发现的AWS服务密钥都提供了可以创建和删除实例(instance)的权限。删除AWS instance会导致数据损失和服务停止，而创建instance则在给黑客带来便利的同时，由受害者来买单。

不过，这也不是人们第一次在移动应用中发现API key, access token等机密凭证。2015年德国达姆施塔特市科技大学的研究人员曾在安卓和iOS系统中发现超过1，000个用于BaaS(后端即服务)框架的访问凭证。这些凭证允许访问超过1850万条数据库记录，包含应用开发者存储在Pares，CloudMine，AWS等BaaS服务提供商那里的56，000，000个数据项目。

Truffle Hog

本月的早些时候，一名安全研究人员曾公布了一款叫做“Truffle Hog”(松露猪，专门在秋天嗅探埋藏在土里的松露)的工具。此款工具能帮助公司及独立开发者扫描他们的程序，寻找那些可能早些时候添加之后却又忘记了的秘密token。

网页题目：大量开发者会将访问token和API密钥硬编码至Android应用
文章路径：http://www.csdahua.cn/qtweb/news15/107265.html

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 快上网