返回安全公告
发布者:安全团队
发布时间:2026-03-12

APP 硬编码静态密钥

摘要:
App 存在部分硬编码静态密钥,客户端密钥可逆向恢复泄露。

CVSS (Base Score):

7.2 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

攻击条件:

攻击者可通过对 App 客户端开展逆向工程、静态分析等安全分析手段,从程序二进制文件与资源文件中提取密钥及敏感常量。

风险:

攻击者可凭借该信息获取部分静态密钥及等价凭据,并结合其他条件扩大对 App 相关功能的滥用范围。

影响范围:

会破坏依赖该硬编码密钥的 App 客户端,以及相关密钥交互场景的数据机密性

修复方案:

APP 已移除相关硬编码密钥代码;请在官方渠道将应用升级至已修复版本:iOS 6.1.7、Android 6.1.9 及以上。
致谢

感谢 Sammy Azdoufal 在本漏洞的发现与协调披露过程中给予的宝贵帮助。