根据用户提供的截图,我提取了以下关键信息: 1. 漏洞标题/ID: #781766: Noelse Noelse - Individuals & Pro(com.afone.noelse) 2.1.7 Segment Write Key Exposure。 2. 漏洞概述: 在Android应用 的2.1.7版本中,发现了一个硬编码的Segment写入密钥(Segment write key)。攻击者可以通过逆向工程提取该密钥,利用它来发送虚假的追踪事件,修改用户配置文件,甚至通过Segment的API进行欺诈性分析数据注入。这可能导致业务智能跟踪受损、用户细分错误以及下游分析系统的滥用。 3. 影响范围: 应用名称: Noelse Noelse - Individuals & Pro 包名: com.afone.noelse 版本: 2.1.7 平台: Android 4. 修复方案: 页面中明确提到 "Noelse Individuals & Pro App up to 2.1.7 on Android com.afone.noelse BuildConfig.java class SEGMENT_WRITE_KEY hard-coded key"。这暗示修复方案应该是移除硬编码的密钥,或者使用更安全的动态获取方式(虽然截图没有直接给出修复代码,但指出了硬编码的位置)。 5. POC/利用代码: 截图中没有直接展示可执行的POC代码块,但提供了一个指向详细描述的链接(Source),以及指出了硬编码密钥所在的文件路径 和变量名 。 现在,我将这些信息整理成简洁的中文Markdown格式。 漏洞总结 漏洞概述 在 Android 应用 "Noelse Noelse - Individuals & Pro" (包名: ) 的 2.1.7 版本中,发现了一个硬编码的 Segment 写入密钥(Segment write key)。攻击者可以通过逆向工程提取该密钥,利用它来发送虚假的追踪事件,修改用户配置文件,甚至通过 Segment 的 API 进行欺诈性分析数据注入。这可能导致业务智能跟踪受损、用户细分错误以及下游分析系统的滥用。 影响范围 应用名称: Noelse Noelse - Individuals & Pro 包名: 受影响版本: 2.1.7 (及之前的版本,根据描述推断) 平台: Android 修复方案 开发者需要移除硬编码的密钥。根据描述,该密钥硬编码在 类的 变量中。建议采用更安全的密钥管理方式,避免将敏感凭证直接编译在客户端代码中。 POC/利用代码 页面未直接提供可执行的 POC 代码,但指出了漏洞的具体位置: 文件路径: 变量名: 相关描述链接**: https://www.research.net/Segment-Write-Key-Exposure-Leading-to-Data-Injection-and-User-Profile-Manipulation-In-com-afone-noelse-2262e6e39978b049869ddda160ed32?source=corpy_link