总部位于旧金山的安全解决方案提供商SEWORKS创始人兼首席执行官Min Pyo Hong近日表示官方Google Play商城上罗列的热门约会应用程序其实都不安全。公司安全专家随机筛选了Play商城上约会Top 10应用中的5款进行研究,发现都可以轻松通过网络上免费下载的反编译工具进行反向翻译。在这个过程中允许研究人员非常轻松的获取应用的源代码,然后攻击者就能手工嵌入恶意程序和重新编译上传至其他第三方应用市场。
所有这五款测试的应用都非常容易反向编译,此外这些源代码也没有进行混淆处理,意味着在反编译之后能够非常容易读取。而更为糟糕的是Hone表示某些约会应用的开发者保留了用于应用后台链接各种服务器的硬编码登录凭证。SEWORKS的安全专家发现给Facebook Parse账号和Taplytics(第三方移动分析提供商和A/B测试平台)的凭证。
通过这些源代码留下的登录细节,任何黑客在反编译应用之后都能查看到源代码,并访问储存用户信息甚至是金融信息的应用后台。
未经允许不得转载:陈丹的博客 » 研究发现Play商城热门约会应用都不安全