В ряде Android-приложений обнаружены ключи сторонних сервисов

В ряде Android-приложений обнаружены ключи сторонних сервисов

В 304 программах исследователи нашли строки для авторизации, которых не должно было быть.

Исследователи из компании Fallible осуществили реверс-инжиниринг 16 тыс. Android-приложений из Google Play и обнаружили в 304 из них закрытые ключи. Эксперты не приводят названия программ, однако, по их словам, они работали с наиболее популярными приложениями.

В 2,5 тыс. проанализированных программ содержались либо ключи, либо неизменяемые строки для авторизации (api secret). Некоторые из них вполне безобидны и необходимы для нормального функционирования приложения (к таковым в частности относятся ключи API Google). Тем не менее, в 304 программах исследователи нашли строки для авторизации которых не должно было быть.

Данные api secret принадлежат различным сторонним сервисам. К примеру, эксперты обнаружили неизменяемые строки для авторизации в сервисах Uber, которые могут использоваться для рассылки уведомлений внутри приложений Uber. В ряде программ также содержались строки для авторизации в Amazon Web Services. Некоторые из них обладали полными правами на создание и удаление объектов класса.

Ниже представлен список популярных сервисов, чьи строки для авторизации были обнаружены в приложениях.

spisok.png


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!