Наприкінці січня фахівці з кібербезпеки з Cybernews оприлюднили дослідження, присвячене застосункам зі штучним інтелектом у магазині Google Play. У межах цього дослідження було виявлено, що значна кількість таких застосунків має неналежний рівень захисту, що призвело до ненавмисного витоку даних із хмарних серверів Google.
Наслідком стало розкриття надзвичайно великого обсягу інформації – загалом близько 730 мільйонів терабайтів даних, частина з яких стала доступною в результаті цілеспрямованих атак. Серед витоку присутні чутливі фінансові дані, які потенційно можуть бути використані зловмисниками для несанкціонованого доступу до цифрових гаманців і подальшого виведення коштів.
Згідно зі звітом, більшість застосунків зі штучним інтелектом у Google Play Store використовують небезпечну практику шифрування, відому як «жорстке кодування» або hardcoding. Це означає, що конфіденційна інформація, зокрема API-ключі та паролі, зберігається безпосередньо у вихідному коді застосунку. За результатами аналізу, 72 відсотки перевірених застосунків містили принаймні один такий жорстко закодований «секрет».
Водночас 81 відсоток виявлених секретів був пов’язаний із проєктами Google Cloud і надавав стороннім особам можливість доступу до сервісів Google. Частина з цих доступів могла бути використана для автоматизованих атак, що значно підвищує ризик масштабних зловживань.
Проблема має масовий характер і насамперед стосується нових застосунків, які створюються відповідно до поточних технологічних трендів. Такі застосунки часто потрапляють до Google Play Store без належного рівня перевірки безпеки, оскільки розробники не встигають інтегрувати повноцінні механізми захисту. Типовою причиною цього є жорсткий часовий тиск, адже застосунки у сфері штучного інтелекту розробляються в стислі строки та поспіхом виводяться на ринок з метою випередження конкурентів.
Окрім цього, було зафіксовано витік значних обсягів даних, що належать клієнтам Facebook. Загалом дослідницька команда Cybernews проаналізувала 1,8 мільйона Android-застосунків, розміщених у Google Play Store.
Що це означає з точки зору ризиків для користувачів. Особливу небезпеку становлять витоки даних у випадках, коли вони пов’язані із сервісами, що обробляють фінансову, аналітичну або клієнтську інформацію. API-ключі можуть бути використані для виконання дій від імені користувачів, маніпуляцій з обліковими записами або підроблення історії транзакцій.
При цьому немає підстав вважати, що були скомпрометовані розмови з великими мовними моделями, такими як ChatGPT. API відомих сервісів цього типу переважно не постраждали, оскільки вони не були реалізовані з використанням жорсткого кодування.
Водночас слід враховувати, що в більшості випадків безпеку вразливих застосунків не було покращено навіть після виявлення витоків. Для багатьох із них точки доступу для потенційних атак залишаються відкритими.
Практичний висновок полягає в необхідності підвищеної обережності під час встановлення нових застосунків із Google Play Store, особливо тих, які вимагають надання персональних або фінансових даних. Користувач не має можливості заздалегідь оцінити, наскільки якісно розробники подбали про захист власного коду та інфраструктури.
Наприкінці звіту дослідники також зазначають, що ця проблема не обмежується лише екосистемою Android. Застосунки в App Store для iOS демонструють аналогічну небезпечну тенденцію до вбудовування секретів безпосередньо в код. Хоча обсяг вибірки у цьому випадку був значно меншим і охоплював близько 156 тисяч iOS-застосунків, приблизно 70 відсотків із них також містили принаймні один жорстко закодований секрет.
