ChatGPT, Dall-E 3

资安业者赛门铁克（Symantec）本周警告，有多个热门的Android及iOS行动程序直接在程序中写入未加密的AWS或Azure凭证，将允许黑客破坏应用程序的后端基础设施、窃取用户数据，或是中断服务。

根据调查，有6款程序直接于代码库中嵌入了未加密的AWS凭证，包括Google Play上的拼贴程序The Pic Stitch: Collage Maker，下载次数超过500万；其它3款则是位于App Store上，包括连锁甜点店的官方程序Crumbl，下载次数超过390万；填写问卷赚现金的调查应用程序Eureka: Earn money for surveys，有超过40万次的下载；超过35万下载量的视频编辑程序Videoshop - Video Editor Videoshop；超过24万次下载的纸牌游戏Solitaire Clash: Win Real Cash；以及超过23.5万次下载量的填问卷赚现金的调查程序Zap Surveys - Earn Easy Money。

另有6款程序嵌入的是微软Azure凭证，包括Google Play上的叫车程序Meru Cabs，下载超过500万次；一个针对印度市场的黄页程序Sulekha Business，下载超过50万次；以及可以用来缓解耳鸣的ReSound Tinnitus Relief；下载超过50万次；超过10万次下载的看病程序Saludsa；下载超过10万次的车辆检查程序Chola Ms Break In，以及另一个用来缓解耳鸣的Beltone Tinnitus Calmer，亦有逾10万次下载。

还有一款摩托车追踪暨社交程序EatSleepRIDE Motorcycle GPS是在代码中写下了Twilio凭证，该程序亦有超过10万次的下载。

赛门铁克表示，此一趋势令人感到不安，这代表任何有权存取应用程序二进位档或原始代码的用户都能取得这些凭证，并滥用它们以摆布或窃取数据，带来严重的安全威胁。

该公司建议开发人员在建置程序时应该将敏感凭证存储于环境变量中，而不是直接嵌入至代码；并应采用秘密管理工具以安全地存储及存取凭证；如果凭证必须存储于程序中，那么至少要将其加密；应该定期检查及审核代码以预防类似或其它漏洞；在CI/CD 管道中集成自动安全扫描工具，以及早检测各种漏洞。