Резюме создано Smart Answers AI
В итоге:
- PCWorld сообщает, что более 1 миллиона приложений Android предоставили 700 ТБ конфиденциальных пользовательских данных из-за жестко запрограммированных ключей API и уязвимостей безопасности.
- Исследования показали, что 72% приложений искусственного интеллекта содержат в своем коде опасные «секреты», причем 81% из них связаны с проектами Google Cloud, обеспечивающими несанкционированный доступ третьих лиц.
- Пользователи должны проявлять крайнюю осторожность при установке новых приложений, особенно приложений искусственного интеллекта, которые запрашивают конфиденциальную финансовую или личную информацию.
Ближе к концу января исследователи безопасности из Cybernews опубликовали исследование приложений искусственного интеллекта в магазине Google Play. Исследование показало, что многие приложения искусственного интеллекта имеют недостаточную безопасность, что приводит к непреднамеренной утечке данных с облачных серверов Google.
Результат? Колоссальное количество 730 миллионов ТБ данных подвергаются разоблачению, частично посредством целенаправленных атак. Утечка включает конфиденциальные финансовые данные, которые могут позволить хакерам опустошить цифровые кошельки.
Как это произошло?
Согласно отчету, большинство приложений искусственного интеллекта в магазине Google Play используют небезопасную технику шифрования, называемую «жесткое кодирование», что означает, что конфиденциальная информация (например, ключи API и пароли) хранится непосредственно в исходном коде приложения. Судя по всему, 72 процента проанализированных приложений содержали в своем коде хотя бы один жестко запрограммированный «секрет».
При этом 81 процент обнаруженных секретов были связаны с проектами Google Cloud и позволяли третьим лицам получать доступ к сервисам Google. Некоторые из них могут быть использованы посредством автоматических атак.
Киберньюс
Это широко распространенная проблема, которая в первую очередь затрагивает новые приложения, соответствующие текущим тенденциям. Эти приложения попадают в Google Play Store, а разработчики не имеют возможности внедрить адекватные механизмы безопасности. Типичная причина этого — нехватка времени, поскольку приложения в области искусственного интеллекта разрабатываются быстро и срочно выводятся на рынок, чтобы не отставать от конкурентов.
Помимо этого, в сеть попало и большое количество данных, принадлежащих клиентам Facebook. Всего исследовательская группа Cybernews изучила 1,8 миллиона приложений для Android из Google Play Store.
В чем опасность для пользователей?
Эта утечка данных представляет особый риск, когда она связана со службами, обрабатывающими финансовые, аналитические или клиентские данные. Ключи API можно использовать, например, для действий от имени пользователей, манипулирования учетными записями или фальсификации истории транзакций.
Вам не нужно беспокоиться о том, что ваши разговоры с LLM, такими как ChatGPT, просочились в сеть. API-интерфейсы этих известных сервисов практически не пострадали, поскольку они не были созданы с использованием жесткого кодирования.
Но вы должны знать, что безопасность большинства этих приложений не была улучшена. даже после обнаружения утечек. Для многих точки доступа для атак остаются на месте.
Вот что это значит для вас: Всегда будьте осторожны при установке новых приложений из Google Play Store, особенно если они требуют от вас раскрытия конфиденциальных данных о себе. Никогда не знаешь, насколько хорошо разработчики защитили свой код.
В конце отчета исследователи также заявляют, что этой проблеме подвержены не только приложения Android. Приложения в iOS App Store также демонстрируют ту же опасную тенденцию: секреты жестко закодированы в приложениях. Однако здесь размер выборки был значительно меньше: было проверено всего 156 000 приложений iOS (из которых около 70 процентов также содержали хотя бы один жестко закодированный секрет).
Эта статья первоначально появилась в нашем родственном издании PC-WELT и была переведена и локализована с немецкого языка.
