Január végén a Cybernews biztonsági kutatói átfogó tanulmányt tettek közzé a Google Play Áruházban elérhető AI alkalmazásokról. A vizsgálat szerint számos app súlyos biztonsági hiányosságokkal működik, amelyek következtében mintegy 730 millió terabájtnyi adat szivárgott ki a Google felhőszervereiről. A kiszivárgott információk között érzékeny pénzügyi adatok is szerepelnek, amelyek akár digitális pénztárcák kifosztását is lehetővé tehetik a támadók számára.
A jelentés rámutat: a probléma egyik fő oka az úgynevezett "hardcoding", vagyis az a gyakorlat, amikor API-kulcsokat és jelszavakat közvetlenül az alkalmazások forráskódjába égetnek be. Az elemzett appok 72 százalékában találtak legalább egy ilyen "titkot", ezek 81 százaléka pedig Google Cloud-projektekhez kapcsolódott, és illetéktelen hozzáférést biztosíthatott külső feleknek. A Cybernews összesen 1,8 millió androidos alkalmazást vizsgált, és azt is megállapította, hogy a probléma főként az új, trendkövető AI-appokat érinti, amelyeket gyakran időnyomás alatt, megfelelő biztonsági tesztelés nélkül dobnak piacra. A kutatók emellett Facebook-felhasználókhoz köthető adatszivárgást is azonosítottak.
A felhasználók számára a legnagyobb kockázatot az jelenti, hogy a kiszivárgott API-kulcsokkal támadók mások nevében hajthatnak végre műveleteket, manipulálhatnak fiókokat vagy tranzakciós előzményeket. A jelentés hangsúlyozza: a nagy nyelvi modellekhez, például a ChatGPT-hez kapcsolódó beszélgetések nem érintettek, mivel ezek az API-k nem hardcodinggal készültek. Ugyanakkor sok érintett alkalmazásnál a hibákat még a kiszivárgás után sem javították, így a támadási felületek továbbra is nyitva maradtak. A kutatók arra figyelmeztetnek, hogy hasonló gondok az Apple iOS-es alkalmazásboltjában is megjelentek: az ott vizsgált 156 ezer app mintegy 70 százaléka szintén tartalmazott beégetett titkos adatokat.