# Secret Key уже не секрет

> Оказалось, что разработчики, использующие в своих приложениях связку с такими сервисами, как Facebook и Amazon, оставляют свой уникальный ключ доступа через API (Secret Key) практически в открытом виде.

Сотрудники Колумбийской школы инженерных и прикладных наук нашли повсеместную уязвимость в приложениях для Android. Для того, чтобы подтвердить свое предположение, они создали специальную программу, которая ежедневно скачивает и проверяет код миллиона бесплатных приложений из Google Play. Оказалось, что разработчики, использующие в своих приложениях связку с такими сервисами, как Facebook и Amazon, оставляют свой уникальный ключ доступа через API (Secret Key) практически в открытом виде. Это все равно, что оставить в открытом виде данные своей кредитной карты.
Имея этот ключ, злоумышленники могут получить контроль над соответствующими ресурсами, например, страницей в Facebook. Уязвимость стала известна только сейчас, хотя не исключено, что ею уже пользуются те, кому хочется получить доступ к чужой, пусть и виртуальной, собственности. Со своей стороны Google уже начал анализ приложений в Play и предупреждает разработчиков о необходимости устранить уязвимость.

---
Раздел: новости
Темы: приложения и виджеты, безопасность, операционные системы
Опубликовано: 2014-06-20
Источник: https://www.content-review.com/articles/27692/
