访问数百个Android应用中的访问令牌和键

许多开发人员仍然将敏感的访问令牌和API键嵌入到其移动应用程序中，将数据和其他资产存放在风险的各种第三方服务上。

通过网络安全公司进行的一项新的研究，可在16,000份Android申请中缺乏差异，显示大约2,500名有一些类型的秘密凭证硬编码。该应用程序被公司于11月发布的在线工具扫描。

[对此故事发表评论，请访问Computerworld“的Facebook页面。

当提供的访问范围限制时，可以对第三方服务进行第三方服务的硬编码访问密钥。但是，在某些情况下，开发人员包括解锁对可以被滥用的敏感数据或系统的访问的键。

这是由于缺乏的304个应用程序，其中包含了Twitter，Dropbox，Flickr，Instagram，Slack或Amazon Web服务（AWS）等服务的访问令牌和API键。

16,000中的三百个应用程序可能似乎不太喜欢，但根据其类型和与之关联的特权，单个泄漏的凭证可能会导致大规模的数据泄露。

例如，Slack令牌可以提供开发团队使用的聊天日志，这些可以包含用于数据库，连续集成平台和其他内部服务的额外凭据，更不用说共享文件和文档。

去年，网站安全公司检测的研究人员发现了超过1,500个松弛访问令牌，该令牌已被硬编码为GitHub托管的开源项目。

AWS访问密钥也已在过去的GitHub项目中找到了数千个，迫使亚马逊开始积极扫描此类泄漏并撤销暴露的键。

在分析的Android应用程序中发现的一些AWS键具有允许创建和删除实例的完全权限，因此贫困的研究人员在博客文章中表示。

删除AWS实例可能导致数据丢失和停机时间，同时创建它们可以为受害者提供计算能力的攻击者“费用。

这不是第一次在移动应用中找到了API键，访问令牌和其他秘密凭据。2015年，德国达姆施塔特技术大学的研究人员揭示了存储在Android和IOS应用程序中的后端服务（BAAS）框架的超过1,000个访问凭据。这些凭证解锁了超过1850万数据库记录，其中包含5600万个数据项，该数据项存储在BAAS提供商上的应用程序，如Facebook所拥有的解析，Cloudmine或AWS。

本月早些时候，安全研究员发布了一个名为Truffle Hog的开源工具，可以帮助公司和inpidual开发人员扫描他们的软件项目，以便在某些时候添加的秘密令牌，然后忘记了。