資安業者警告，多個熱門行動程式直接將AWS與Azure憑證寫入程式中

資安業者賽門鐵克（Symantec）本周警告，有多個熱門的Android及iOS行動程式直接在程式中寫入未加密的AWS或Azure憑證，將允許駭客破壞應用程式的後端基礎設施、竊取用戶資料，或是中斷服務。

根據調查，有6款程式直接於程式碼庫中嵌入了未加密的AWS憑證，包括Google Play上的拼貼程式The Pic Stitch: Collage Maker，下載次數超過500萬；其它3款則是位於App Store上，包括連鎖甜點店的官方程式Crumbl，下載次數超過390萬；填寫問卷賺現金的調查應用程式Eureka: Earn money for surveys，有超過40萬次的下載；超過35萬下載量的影片編輯程式Videoshop - Video Editor Videoshop；超過24萬次下載的紙牌遊戲Solitaire Clash: Win Real Cash；以及超過23.5萬次下載量的填問卷賺現金的調查程式Zap Surveys - Earn Easy Money。

另有6款程式嵌入的是微軟Azure憑證，包括Google Play上的叫車程式Meru Cabs，下載超過500萬次；一個針對印度市場的黃頁程式Sulekha Business，下載超過50萬次；以及可以用來緩解耳鳴的ReSound Tinnitus Relief；下載超過50萬次；超過10萬次下載的看病程式Saludsa；下載超過10萬次的車輛檢查程式Chola Ms Break In，以及另一個用來緩解耳鳴的Beltone Tinnitus Calmer，亦有逾10萬次下載。

還有一款摩托車追蹤暨社交程式EatSleepRIDE Motorcycle GPS是在程式碼中寫下了Twilio憑證，該程式亦有超過10萬次的下載。

賽門鐵克表示，此一趨勢令人感到不安，這代表任何有權存取應用程式二進位檔或原始程式碼的使用者都能取得這些憑證，並濫用它們以擺布或竊取資料，帶來嚴重的安全威脅。

該公司建議開發人員在建置程式時應該將敏感憑證儲存於環境變數中，而不是直接嵌入至程式碼；並應採用秘密管理工具以安全地儲存及存取憑證；如果憑證必須儲存於程式中，那麼至少要將其加密；應該定期檢查及審核程式碼以預防類似或其它漏洞；在CI/CD 管道中整合自動安全掃描工具，以及早檢測各種漏洞。