Opsežna sigurnosna istraga analizirala je 1.8 milijuna Android aplikacija dostupnih na Trgovini Google Play, s posebnim fokusom na one koje izričito navode korištenje AI značajki, te je identificirala zabrinjavajuće sigurnosne propuste. Iz početnog skupa aplikacija, istraživači iz tvrtke Cybernews izdvojili su 38,630 Android AI aplikacija i ispitali njihov interni kod u potrazi za izloženim vjerodajnicama i referencama na usluge u oblaku. Otkriveni su rašireni propusti u rukovanju podacima koji sežu daleko izvan izoliranih pogrešaka pojedinih programera, ukazujući na sustavni problem.
Sveukupno, istraživači su otkrili da gotovo tri četvrtine (72%) analiziranih Android AI aplikacija sadrži barem jednu "hardkodiranu" tajnu ugrađenu izravno u kod aplikacije. U prosjeku je svaka pogođena aplikacija otkrila 5.1 tajnu, što dodatno naglašava razmjere problema. Ukupno je identificirano 197,092 jedinstvenih tajni u cijelom skupu podataka, što pokazuje da nesigurne prakse kodiranja ostaju raširene unatoč dugogodišnjim upozorenjima stručnjaka za kibernetičku sigurnost.
Više od 81% svih otkrivenih tajni bilo je vezano uz infrastrukturu Google Clouda, uključujući identifikatore projekata, API ključeve, Firebase baze podataka i spremnike za pohranu (storage buckets). Od ukupno 26,424 otkrivenih "hardkodiranih" pristupnih točaka za Google Cloud, otprilike dvije trećine odnosilo se na infrastrukturu koja više ne postoji. Međutim, preostali dio predstavljao je značajan sigurnosni rizik, što su daljnja istraživanja i potvrdila.
Među preostalim pristupnim točkama, 8,545 Google Cloud spremnika za pohranu još uvijek je postojalo i zahtijevalo je autentifikaciju, dok su stotine bile pogrešno konfigurirane i ostavljene javno dostupnima. Prema izvornom izvješću TechRadara, ti propusti su potencijalno izložili više od 200 milijuna datoteka, što ukupno čini gotovo 730 TB korisničkih podataka. Razmjeri curenja podataka ilustriraju kako jednostavne pogreške u konfiguraciji mogu dovesti do katastrofalnih posljedica za privatnost korisnika.
Studija je također identificirala 285 Firebase baza podataka bez ikakvih autentifikacijskih kontrola, koje su zajedno otkrile najmanje 1.1 GB korisničkih podataka. U 42 posto tih izloženih baza podataka, istraživači su pronašli tablice s oznakom "proof of concept", što jasno ukazuje na to da su napadači već ranije kompromitirali te sustave kako bi dokazali njihovu ranjivost.
Druge baze podataka sadržavale su administratorske račune kreirane s e-mail adresama koje stilom podsjećaju na one koje koriste napadači, što potvrđuje da iskorištavanje ranjivosti nije bilo samo teorijsko, već se aktivno događalo. Zabrinjavajuće je da su mnoge od tih baza podataka ostale nezaštićene čak i nakon jasnih znakova upada, što upućuje na loše sigurnosno praćenje sustava, a ne na jednokratne pogreške programera.
Unatoč zabrinutosti oko AI značajki, curenje API ključeva za velike jezične modele bilo je relativno rijetko. Samo je mali broj ključeva povezanih s velikim pružateljima usluga kao što su OpenAI, Google Gemini i Claude otkriven u cijelom skupu podataka. U tipičnim konfiguracijama, takvi bi ključevi napadačima omogućili slanje novih zahtjeva, ali ne i pristup pohranjenim razgovorima, povijesnim upitima ili prethodnim odgovorima.
Neki od najozbiljnijih propusta uključivali su aktivnu platnu infrastrukturu, poput curenja tajnih lozinki za Stripe, koji su mogli omogućiti potpunu kontrolu nad platnim sustavima. Druge izložene vjerodajnice omogućavale su pristup komunikacijskim platformama, analitičkim sustavima i bazama korisničkih podataka, dopuštajući lažno predstavljanje aplikacija ili neovlašteno izvlačenje podataka. Ovakve propuste nije moguće ublažiti osnovnim alatima poput vatrozida ili alata za uklanjanje zlonamjernog softvera nakon što je do izlaganja već došlo. Razmjeri izloženih podataka i broj već kompromitiranih aplikacija sugeriraju da samo provjeravanje aplikacija u trgovinama nije dovoljno za smanjenje sustavnog rizika.
Otvori KEKS Pay
