В конце января специалисты по кибербезопасности из Cybernews обнародовали исследование, посвященное приложениям с искусственным интеллектом в магазине Google Play. В рамках этого исследования было обнаружено, что значительное количество таких приложений имеет ненадлежащий уровень защиты, что привело к непреднамеренной утечке данных с облачных серверов Google.
Следствием стало раскрытие чрезвычайно большого объема информации-в общей сложности около 730 миллионов терабайтов данных, часть из которых стала доступной в результате целенаправленных атак. Среди утечки присутствуют чувствительные финансовые данные, которые потенциально могут быть использованы злоумышленниками для несанкционированного доступа к цифровым кошелькам и последующего вывода средств.
Согласно отчету, большинство приложений с искусственным интеллектом в Google Play Store используют небезопасную практику шифрования, известную как «жесткое кодирование» или hardcoding. Это означает, что конфиденциальная информация, в частности API-ключи и пароли, хранится непосредственно в исходном коде приложения. По результатам анализа, 72 процента проверенных приложений содержали по крайней мере один такой жестко закодированный «секрет».
В то же время 81 процент обнаруженных секретов был связан с проектами Google Cloud и предоставлял посторонним лицам возможность доступа к сервисам Google. Часть из этих доступов могла быть использована для автоматизированных атак, что значительно повышает риск масштабных злоупотреблений.
Проблема носит массовый характер и прежде всего касается новых приложений, которые создаются в соответствии с текущими технологическими трендами. Такие приложения часто попадают в Google Play Store без надлежащего уровня проверки безопасности, поскольку разработчики не успевают интегрировать полноценные механизмы защиты. Типичной причиной этого является жесткое временное давление, ведь приложения в сфере искусственного интеллекта разрабатываются в сжатые сроки и спешно выводятся на рынок с целью опережения конкурентов.
Кроме этого, была зафиксирована утечка значительных объемов данных, принадлежащих клиентам Facebook. В общей сложности исследовательская группа Cybernews проанализировала 1,8 миллиона Android-приложений, размещенных в Google Play Store.
Что это значит с точки зрения рисков для пользователей. Особую опасность представляют утечки данных в случаях, когда они связаны с сервисами, обрабатывающими финансовую, аналитическую или клиентскую информацию. Ключи API могут использоваться для выполнения действий от имени пользователей, манипулирования учетными записями или подделки истории транзакций.
При этом нет оснований полагать, что были скомпрометированы разговоры с крупными языковыми моделями, такими как ChatGPT. API известных сервисов этого типа в основном не пострадали, поскольку они не были реализованы с использованием жесткого кодирования.
В то же время следует учитывать, что в большинстве случаев безопасность уязвимых приложений не была улучшена даже после обнаружения утечек. Для многих из них точки доступа для потенциальных атак остаются открытыми.
Практический вывод заключается в необходимости повышенной осторожности при установке новых приложений из Google Play Store, особенно тех, которые требуют предоставления персональных или финансовых данных. Пользователь не имеет возможности заранее оценить, насколько качественно разработчики позаботились о защите собственного кода и инфраструктуры.
В конце отчета исследователи также отмечают, что эта проблема не ограничивается экосистемой Android. Приложения в App Store для iOS демонстрируют аналогичную опасную тенденцию встраивать секреты непосредственно в код. Хотя размер выборки в этом случае был значительно меньше и охватывал около 156 тысяч приложений iOS, примерно 70 процентов из них также содержали по крайней мере один жестко закодированный секрет.
