В Android-приложениях обнаружены ключи сторонних сервисов


FallibleВ результате проведенного реверс-инжиниринга 16 тысяч Android-приложений из Google Play, в 304 из них были обнаружены закрытые ключи. Анализ наиболее популярных приложений (названия не указываются) проводили исследователи из компании Fallible.

Так, в 2,5 тыс. проанализированных программах содержались либо ключи, либо неизменяемые строки для авторизации (api secret). Некоторые из них вполне безобидны и необходимы для нормального функционирования приложения (к таковым в частности относятся ключи API Google). Однако, в 304 программах исследователи выявили строки для авторизации которых не должно было быть.

Детальное изучение строк из этих приложений показало, что данные api secret принадлежат различным сторонним сервисам. К примеру, были обнаружены неизменяемые строки для авторизации в сервисах Uber, которые могут использоваться для рассылки уведомлений внутри приложений Uber. Также в ряде программ содержались строки для авторизации в Amazon Web Services. Некоторые из них обладали полными правами на создание и удаление объектов класса.

Список популярных сервисов, чьи строки для авторизации были обнаружены в приложениях

Spisok servisov v prilojeniyah


Обновлено (17.01.2017 19:26)