Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wykonali dekompilację 16 000 aplikacji androidowych, znaleźli 2500 zahardcodowanych kluczy
Ciekawe badanie oraz sam system do analizy aplikacji androidowych (potrafi analizować appki bezpośrednio z Google Play…):
Analiza polega na poszukiwaniu zahardcodowanych kluczy i innych interesujących ciągów znaków (haseł) w aplikacjach. Na ~16000 aplikacji znaleziono takich około 2500. Możecie zaprotestować, że nie wszystkie zapisane w appkach np. klucze API są groźne. I racja, tych problematycznych jest znacznie mniej – autorzy wpisu podali szacunek na około 300 aplikacji.
Przykład? Klucz do AWS dający pełne uprawnienia (umożliwiający np. tworzenie, usuwanie instancji):
–ms
Pierwsza apka z brzegu:
0dd43a4e-b8f9-4b5f-8e8d-2343c5af89e1
tak powinno lepiej wyglądać:
string name=” com.crashlytics.android.build_id” 0dd43a4e-b8f9-4b5f-8e8d-2343c5af89e1 string