赛门铁克昨日发布博文，报告多款热门移动应用程序由于开发阶段的错误和不良实践，简要解释下硬编码凭证，是指在源代码中直接嵌入的明文密码或其他敏感信息。

　　赛门铁克研究人员审查了多款热门移动应用代码，发现了硬编码且未加密的云服务凭证。

　　Pic Stitch 代码中曝光的 Key

　　赛门铁克研究人员表示：“这种危险的做法意味着，任何能够访问应用程序的二进制文件或源代码的人，都可能提取这些凭证并滥用它们，从而操控或窃取数据，导致严重的安全漏洞”。

　　Google Play 上发现存在云服务凭证的应用如下：

　　Pic Stitch：超过 500 万次下载，存在 Microsoft Azure Blob Storage 硬编码凭证

　　Meru Cabs – 超过 500 万次下载，发现存在微软 Azure Blob Storage 硬编码凭证

　　Sulekha Busines：超过 50 万次下载，发现存在微软 Azure Blob Storage 硬编码凭据

　　ReSound Tinnitus Relief：超过 50 万次下载，发现存在微软 Azure Blob Storage 硬编码凭证

　　Saludsa：超过 10 万次下载，发现存在微软 Azure Blob Storage 硬编码凭据

　　Chola Ms Break In 超过 10 万次下载，发现存在微软 Azure Blob Storage 硬编码凭证

　　EatSleepRIDE Motorcycle GPS：超过 10 万次下载，发现存在 Twilio 硬编码凭证

　　Beltone Tinnitus Calmer：超过 10 万次下载，发现存在微软 Azure Blob 存储硬编码凭据

　　Crumbl 代码库中的 AWS 凭证

　　苹果 App Store 上发现存在云服务凭证的应用如下

　　Crumbl：390 万条评价，发现存在亚马逊硬编码凭证

　　Eureka:40.21 万条评价，发现存在亚马逊硬编码凭证

　　Videoshop：35.79 万条评价，发现存在亚马逊硬编码凭证

　　Solitaire Clash: Win Real Cash： 24.48 万条评价，发现存在亚马逊硬编码凭证

　　Zap Surveys：23.5 万条评价，发现存在亚马逊硬编码凭证