Wykonali dekompilację 16 000 aplikacji androidowych, znaleźli 2500 zahardcodowanych kluczy

17 stycznia 2017, 12:06 | W biegu | komentarze 2
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Ciekawe badanie oraz sam system do analizy aplikacji androidowych (potrafi analizować appki bezpośrednio z Google Play…):

Analiza appek

Analiza appek

Analiza polega na poszukiwaniu zahardcodowanych kluczy i innych interesujących ciągów znaków (haseł) w aplikacjach. Na ~16000 aplikacji znaleziono takich około 2500. Możecie zaprotestować, że nie wszystkie zapisane w appkach np. klucze API są groźne. I racja, tych problematycznych jest znacznie mniej – autorzy wpisu podali szacunek na około 300 aplikacji.

Przykład? Klucz do AWS dający pełne uprawnienia (umożliwiający np. tworzenie, usuwanie instancji):

aws1

 

  –ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Trevor

    Pierwsza apka z brzegu:

    0dd43a4e-b8f9-4b5f-8e8d-2343c5af89e1

    Odpowiedz
  2. Trevor

    tak powinno lepiej wyglądać:
    string name=” com.crashlytics.android.build_id” 0dd43a4e-b8f9-4b5f-8e8d-2343c5af89e1 string

    Odpowiedz

Odpowiedz