就爱加速器
流行的手机角色扮演游戏(RPG)Guidus泄露了用户的游戏进度信息。
Cybernews研究发现,敏感数据被硬编码到Guidus应用程序中,使其面临数据泄露的风险。 在Google Play应用商店中,Guidus的下载量超过10万次。 这是一款移动设备上的知名像素RPG游戏。 超过1.6万名评论者给这款应用程序打出了4.2分的高分(满分5分)。 游戏要求玩家在地牢中战斗,夺回宫殿并拯救王国的真正继承人。
该游戏声誉良好,似乎是一款合法应用,但现在已证实数百万用户的游戏进度数据被泄露。 "该应用程序泄露了用户的游戏进度信息,包括游戏玩家用作'游戏内'咖喱和数字标记以跟踪进度的匿名代币。 Cybernews说:"如果泄露的数据没有备份,而恶意行为者选择删除这些数据,那么用户的游戏进度就有可能永久丢失,无法恢复。
"他们补充说:"将敏感数据硬编码到Android应用程序的客户端是个坏主意,在大多数情况下,可以通过逆向工程轻松获取。 如果黑客能够访问这些密钥,他们可能会获得更多有关玩家的敏感数据。
以下是硬编码到应用程序客户端的密钥:
- firebase_database_url, gcm_defaultSenderId
- default_web_client_id, google_api_key
- google_app_id
- google_crash_reporting_api_key
- 谷歌存储桶
据Cybernews报道,今年早些时候对超过3.3万个Android应用程序进行了分析,发现最敏感的硬编码秘密是用于授权项目的API密钥、Firebase数据集链接和谷歌存储桶。
商业、生活方式、健康和健身、工具和教育是包含最多硬编码个人数据的前五大应用类别。
