chanong 最新研究表明,免费 移动应用程序的开发人员会将密钥写入移动应用程序。 其中有一些并不是作者故意的,而是因为有些移动开发包在安装过程中会默认安装密钥。
美国国家互联网应急响应协调中心(CERT/CC)软件安全研究员威尔表示,在扫描了近180万个免费移动应用程序后,他发现很多应用程序都存在这种安全风险,包括密钥重建和VPN密码等。 固件中的管理员密码也会被泄露。 当然,这些安全风险目前只存在于免费的移动应用中,但相信付费版本的移动应用也或多或少存在类似的问题。
在他扫描的免费手机应用中,之前提到的三星手机内置软件智能家居存在密码泄露的安全风险。 一些移动应用开发商为了方便起见,会在应用软件中内置密码。
甚至发现,一款移动应用程序不仅将开发者用于登录商店和iOS应用程序商店的登录详细信息写入软件中,还写入了该软件应用程序的管理员密码。 大多数其他 手机应用程序将此信息隐藏在 .png 或 .apk 文件中。
提醒用户,在开发移动应用时,需要修改开发包的默认设置,因为默认情况下,密钥会在软件发布时写入移动应用软件中。 该安全漏洞也将在更新后修复。 软件密钥存储毫无用处。 Java中的密钥存储和轻量级密码学包()并不保护软件本身,而只是对密码进行加密。
但现在事实证明,两者对密码的加密效果都很差。 会用到两个密码破解工具:Jack the 和。 由于这些密码破解工具不断升级更新,能够智能判断一些常用的简单密码组合,因此只需通过GPU暴力破解,就可以找到一些开发者随意设置的简单密码。 使用后感觉更有用。 它不仅可以识别普通人常见密码习惯中的大写字母,还可以识别密码末尾的感叹号以及常用的4位日期格式密码格式。
因此,密码设置必须足够长和复杂,并且还需要考虑避免使用密码破解字典中包含的一些常见密码,例如“”之类的愚蠢密码!
微信扫一扫打赏
支付宝扫一扫打赏
