速查！Adobe 推出的这款产品不！安！全！

报道称，Adobe 推出的 Experience Platform 移动版 SDK包含了一个样本配置文件，可创建不安全的默认设置。该SDK 用于创建和该公司云服务交互的应用。

如果开发人员创建的应用使用这些文件作为模板或示例，那么就会发现他们的应用一直都在通过未经 SSL 保护的网络发送数据，使其易受拦截和修改风险。

本周三，网络安全公司 Nightwatch Cybersecurity 在 Adobe 打补丁后披露了这些漏洞的存在，该公司早在今年3月份就向 Adobe 提交了这些漏洞。

问题出在这些 SDK 中一个名为 ADBMobileConfig.json 的配置文件中。该配置文件以打包形式出现在移动应用中。

Nightwatch 公司的安全研究员 Yakov Shafranovich 在一篇博客文章中指出，“该文件中包含多个不安全的设置，可能导致未经 SSL 保护而传输的敏感数据被访问网络流量的攻击者发现并修改”。

默认设置为假值的 .json 文件的 analytics 对象存在一个 SSL 设置。mediaHeartbeat 对象中的一个 SSL 设置被默认为假值。同时还存在可配置的多个 URL，它们可能不正确地引用了不安全的 HTTP URL。

经验丰富的开发人员可能会构造自己的配置文件从而避免该问题，但 Adobe 明确推荐将有缺陷的文件复制到项目中。例如，Adobe 在 BlackBerry 10 SDK 中建议“在 ADBMobile-4.0.0-BlackBerry 文件中，存在一个名为 ADBMobileConfig.json 的 .json 配置文件。将该文件复制到项目的 root 中。”指导手册中也存在类似的建议。开发人员看似并不一定总是意识到问题的存在。

Adobe 计划于2020年9月终止其第四版 SDK，未来版本应该不存在这类问题。Adobe 在给 Nightwatch 的一份回应中指出，客户通常会从默认开启 SSL 的 MobileServices 中下载文件，通过推荐 SSL 的 Adobe 专业服务创建配置文件；或者客户将创建自己的配置文件，而在大多数情况下启用 SSL。

Nightwatch 表示，“开发人员应该用从开发者门户下载的文件替换这个配置文件，但实际上他们并不会这么做。”

Nightwatch 已发布一份开源工具 truegaze，对现有的 Experience Platform 应用进行静态分析，查找是否执行了易受攻击的 SSL 设置。其 GitHub 地址为：https://github.com/nightwatchcybersecurity/truegaze。

Adobe 表示，并不了解执行Adobe SDK 且缺乏 SSL 保护的应用是否遭在野利用，以及受影响的现有应用的数量是多少。