Cybernews 的一項(xiàng)調(diào)查發(fā)現(xiàn)，71% 的 iOS 應(yīng)用存在敏感信息泄露問(wèn)題。Cybernews 研究人員下載了 15.6 萬(wàn)個(gè) iOS 應(yīng)用（約占蘋果應(yīng)用商店應(yīng)用總量的 8%），發(fā)現(xiàn)應(yīng)用開(kāi)發(fā)者在代碼中遺留了明文憑證，任何人都可獲取。研究結(jié)果令人震驚：71% 的受分析應(yīng)用至少泄露一項(xiàng)敏感信息，平均每個(gè)應(yīng)用代碼會(huì)暴露 5.2 條敏感信息。

無(wú)論是由于無(wú)意疏漏還是完全疏忽，這種現(xiàn)象都對(duì)毫不知情的用戶構(gòu)成重大安全威脅。雖然許多常見(jiàn)的泄露信息看似無(wú)害，但某些信息可能會(huì)讓攻擊者輕易獲取用戶最私密的數(shù)據(jù)。

這些泄露的隱私數(shù)據(jù)可能直接危及你的私人信息

開(kāi)發(fā)者常將 API 密鑰、密碼等硬編碼在應(yīng)用代碼中，導(dǎo)致攻擊者可輕易獲取這些明文憑證（平均每個(gè)應(yīng)用暴露 5.2 條敏感信息）。盡管美國(guó) CISA 和 FBI 已明確將其列為不良實(shí)踐，但仍有大量應(yīng)用在代碼中暴露用于 Google 云、Firebase 等服務(wù)的認(rèn)證端點(diǎn)和令牌。部分泄露信息雖單獨(dú)無(wú)害，但常被用于組合攻擊或定位目標(biāo)，而十大高危泄露項(xiàng)中的關(guān)鍵數(shù)據(jù)若配合端點(diǎn)配置錯(cuò)誤，可能直接導(dǎo)致用戶數(shù)據(jù)庫(kù)被非法訪問(wèn)。

存儲(chǔ)桶（Storage Bucket）是泄露風(fēng)險(xiǎn)最高的敏感信息之一。在 78,343 個(gè)蘋果應(yīng)用商店應(yīng)用中發(fā)現(xiàn)了這一端點(diǎn)標(biāo)識(shí)符，它通常用于授權(quán)應(yīng)用訪問(wèn)和操作云存儲(chǔ)服務(wù)（如 Google 云存儲(chǔ)或亞馬遜 S3）。如果未設(shè)置正確的認(rèn)證機(jī)制或憑證直接暴露在代碼中，攻擊者可能讀取或刪除云端存儲(chǔ)的數(shù)據(jù)，導(dǎo)致用戶隱私面臨風(fēng)險(xiǎn)。

另一個(gè)高度敏感的泄露信息是數(shù)據(jù)庫(kù) URL（Database URL）。該端點(diǎn)明確指定了特定應(yīng)用的數(shù)據(jù)庫(kù)位置，超過(guò) 4.2 萬(wàn)個(gè)受測(cè)應(yīng)用暴露了這一秘密。若 Firebase 端點(diǎn)未加密或認(rèn)證憑證泄露，攻擊者可直接訪問(wèn)數(shù)據(jù)庫(kù)中存儲(chǔ)的用戶數(shù)據(jù)?！斑@些是最重要的泄露端點(diǎn)，因?yàn)樗鼈冎苯又赶蛴脩魯?shù)據(jù)的存儲(chǔ)位置，而數(shù)據(jù)庫(kù)通常包含活動(dòng)日志、用戶名、郵箱和密碼等核心信息?！盋ybernews 安全研究員 Aras Nazarovas 解釋道：“云存儲(chǔ)則常保存用戶上傳的文件，例如工作文檔或應(yīng)用內(nèi)聊天發(fā)送的圖片。”

攻擊者如何利用你的隱私數(shù)據(jù)？

Google 項(xiàng)目 ID、Google 廣告應(yīng)用 ID 和應(yīng)用 ID 是應(yīng)用與 Google 服務(wù)（如 Google 地圖、Google 分析、Google 廣告、Firebase 或云存儲(chǔ)）通信時(shí)所需的唯一標(biāo)識(shí)符。假設(shè)攻擊者在應(yīng)用代碼中發(fā)現(xiàn)了這些 ID，他們就能利用其鎖定攻擊目標(biāo)，更輕易地定位其他暴露的憑證或可利用的脆弱端點(diǎn)。

若與 API 密鑰等其他憑證結(jié)合使用，攻擊者可能嘗試訪問(wèn)與該應(yīng)用關(guān)聯(lián)的 Google 服務(wù)。他們還可能偽裝成應(yīng)用本身，從而越權(quán)訪問(wèn)服務(wù)、修改竊取隱私數(shù)據(jù)，或通過(guò)偽造請(qǐng)求對(duì) API 進(jìn)行惡意攻擊（如流量過(guò)載）。

盡管用戶認(rèn)證必需的 OAuth 令牌通常不會(huì)直接暴露，但與之配套的客戶端 ID 卻是最常泄露的敏感信息之一。攻擊者可利用泄露的客戶端 ID 創(chuàng)建虛假 OAuth 授權(quán)頁(yè)面，誘騙用戶授予賬戶訪問(wèn)權(quán)限。若應(yīng)用未正確驗(yàn)證令牌，攻擊者還可能通過(guò)竊取的客戶端 ID 劫持用戶會(huì)話。

這些泄露的隱私數(shù)據(jù)可能幫助攻擊者入侵 Facebook 賬戶

iOS 應(yīng)用也常泄露 Facebook 應(yīng)用 ID 和客戶端令牌。這些信息用于在 Facebook 生態(tài)系統(tǒng)中識(shí)別應(yīng)用，以實(shí)現(xiàn) Facebook 登錄、分析和分享等功能。

攻擊者可利用這些憑證創(chuàng)建高仿釣魚(yú)應(yīng)用，進(jìn)而盜取用戶賬戶。由于客戶端令牌可代表應(yīng)用對(duì) Facebook API 請(qǐng)求進(jìn)行認(rèn)證，攻擊者還可能利用泄露的令牌向 Facebook Graph API 發(fā)送惡意請(qǐng)求。

為何我們深陷危機(jī)？

代碼中暴露敏感信息的問(wèn)題極為普遍。安全公司 GitGuardian 透露，整個(gè) 2024 年，開(kāi)發(fā)者向 GitHub 提交的代碼中，新增了超 2300 萬(wàn)個(gè)硬編碼敏感信息。

Nazarovas 表示：“由于這類敏感信息廣泛存在且易于利用，此類漏洞被視為移動(dòng)應(yīng)用面臨的最大威脅。這向惡意行為者表明，大量應(yīng)用存在漏洞，且無(wú)需耗費(fèi)太多精力即可利用。這促使眾多威脅行為者大規(guī)模利用這些漏洞?！本W(wǎng)絡(luò)威脅無(wú)休無(wú)止，全球安全隱患持續(xù)存在，而一個(gè) API 密鑰等單一敏感信息就可能引發(fā)嚴(yán)重問(wèn)題。

2024 年 12 月，某技術(shù)支持提供商 BeyondTrust 泄露的 API 密鑰被利用，導(dǎo)致美國(guó)財(cái)政部遭遠(yuǎn)程訪問(wèn)。Verizon 報(bào)告顯示，過(guò)去十年，31% 的違規(guī)事件涉及被盜憑證。尤其棘手的是，被盜或泄露憑證引發(fā)的違規(guī)事件最難察覺(jué)。根據(jù) IBM 報(bào)告，平均需 292 天才能發(fā)現(xiàn)并解決這類問(wèn)題，耗時(shí)超過(guò)其他任何攻擊方式。

責(zé)任編輯：石旭