В ноябре прошлого года специалисты компании Fallible запустили онлайновый инструмент для реверс-инжиниринга Android-приложений. Исходно данное решение было создано для внутренних нужд компании, но в итоге разработчики решили, что оно может быть полезно и другим ИБ-специалистам. Так появилась онлайновая версия.

За прошедшие месяцы пользователи воспользовались инструментом Fallible, чтобы отреверсить около 16 000 приложений, и компания решила поделиться результатами этих исследований.

Как оказалось, около 2500 приложений из 16 000 хранят в коде различные секретные данные, которых там быть не должно. Это секретные ключи или жестко закодированные данные каких-либо сторонних сервисов. Исследователи пишут, что некоторые ключи безвредны, и их наличие в коде приложения оправдано (к примеру, ключи Google API), но так бывает далеко не всегда. Так, в коде 304 приложений обнаружились данные, которые могут представлять опасность.

«Мы обнаружили в Android приложениях самые разные секретные данные, начиная от учетных данных AWS, которые предоставляют полный доступ и могут быть использованы для полного отключения сервисов и уничтожения данных, и заканчивая API secret таких сервисов, как Uber, Twitter, Dropbox, Instagram и Stripe, учетными данными SMTP-серверов, учетными данными от MySQL/RDS/Mongo, наряду со строками подключения, что может спровоцировать утечку пользовательских данных», — рассказывает сооснователь Fallible Абхишек Ананд (Abhishek Anand)

По данным исследователей, 102 приложения содержали излишние жестко закодированные данные для взаимодействия с Twitter. Еще 59 приложений продемонстрировали такую же ошибку, только ради взаимодействия с Urban Airship. На третьем месте доступ к  Amazon AWS, которым могут поделиться 10 приложений, причем в некоторых случаях доступ полный, с правом создания и удаления инстансов. Замыкают список Wootric и Instagram (8 приложений), а также Tapjoy (7 приложений).

«Любые секретные учетные данные в коде на клиентской стороне – это очень плохая идея, так как пользователь почти всегда способен их обнаружить, вне зависимости от того, насколько они обфусцированы», — резюмирует Ананд.

Исследователи Fallible призывают разработчиков дважды подумать, прежде чем включать в код жестко закодированные ключи или токены.

Напомню, что пару лет назад ][ уже рассказывал о проблеме приложений с захардкоженнымми секретами. Этому вопросу была посвящена статья Application Porno.

Фото: Depositphotos



Оставить мнение