كشف تحقيق أمني عن تسريبات في تطبيقات أندرويد، وخاصة تلك المتعلقة بالذكاء الاصطناعي.
فخلال الفحص، اكتشف الباحثون أسرارًا مدمجة في آلاف التطبيقات على متجر جوجل بلاي.
تشمل التسريبات بيانات حساسة تتعلق بمنصات جوجل السحابية، مما يعرّض المعلومات الشخصية للخطر.
يشير التقرير إلى وجود ثغرات استغلت سابقًا، مما يعكس قلة الوعي الأمني لدى المطورين، ويستدعي مراجعة جذرية للأمان في خدمات السحاب والذكاء الاصطناعي لحماية المستخدمين.
قد يحمّل المستخدم تطبيقًا جديدًا يوعده بالذكاء والسرعة، ويمنحه شعورًا بالأمان، لكن هذا الشعور يتلاشى حين يتبين أن الشيفرة ذاتها التي تشغل هذه التطبيقات تخفي مفاتيح وأسرار كان من المفترض ألا تُكشف، هذا ما كشفه تحقيق أمني شامل حول تطبيقات الذكاء الاصطناعي على أندرويد، مظهرًا أن مشكلة تسريب البيانات تتجاوز الأخطاء الفردية.
تحقيق شامل يكشف هشاشة تطبيقات أندرويد الذكية
البحث الذي قاده فريق من Cybernews فحص ما يقارب مليونًا وثمانمائة ألف تطبيق على متجر جوجل بلاي، مع تركيز خاص على التطبيقات التي تروّج لاستخدام تقنيات الذكاء الاصطناعي، وبعد عزل أكثر من ثمانية وثلاثين ألف تطبيق، وجد الباحثون أن غالبية هذه التطبيقات تضم أسرارًا مدمجة مباشرة داخل الكود البرمجي، مثل مفاتيح واجهات برمجة التطبيقات ومعرّفات المشاريع السحابية.
لم تكن النتيجة مجرد أرقام، بل صورة لنمط متكرر من التطوير السريع دون اعتبار كافٍ لأنظمة الأمان، حيث يحتوي التطبيق الواحد في المتوسط على أكثر من خمس نقاط ضعف قابلة للاستغلال.
جوجل كلاود في قلب المشكلة
الجزء الأكبر من هذه الأسرار ارتبط ببنية جوجل السحابية، بما في ذلك خدمات التخزين وقواعد بيانات فايربيز، حيث كانت آلاف العناوين السحابية لا تزال نشطة، وبعضها مُهيأ بحيث يسمح بالوصول العام دون مصادقة، مما فتح الباب أمام كشف مئات الملايين من الملفات التي تمثل تاريخ استخدام وملفات شخصية ورسائل.
هذا النوع من التسريب لا يشبه اختراقًا محددًا، بل شبكة واسعة من الإهمال البنيوي حيث تتراكم الأخطاء الصغيرة لتنتج حجمًا هائلًا من البيانات المكشوفة.
أدلة على استغلال فعلي لا افتراض نظري
القلق الأكبر لم يكن فقط في وجود الثغرات، بل في الأدلة التي تشير إلى استغلالها سابقًا، حيث احتوت بعض قواعد البيانات المفتوحة على جداول معنونة كتجارب إثبات اختراق، وأخرى ضمت حسابات إدارية بعناوين بريد إلكتروني توحي بسلوك هجومي، ما يعني أن الضرر لم يعد احتمالًا، بل واقعًا مستمرًا.
مفاتيح الذكاء الاصطناعي ليست الخطر الأكبر
على عكس التوقعات، كانت مفاتيح النماذج اللغوية الكبيرة نادرة نسبيًا ضمن التسريبات، وحتى عند وجودها، فهي غالبًا لا تمنح وصولًا إلى محادثات سابقة أو بيانات محفوظة، بينما الخطر الحقيقي ظهر في أماكن أخرى مثل مفاتيح أنظمة الدفع الإلكترونية التي تتيح سيطرة كاملة على عمليات التحصيل، أو بيانات اعتماد لخدمات تحليل واتصال يمكن استغلالها لانتحال هوية التطبيق.
هنا يتجاوز الأثر مسألة الخصوصية إلى تهديد مباشر للاستقرار المالي والثقة الرقمية.
لماذا لا تكفي مراجعة المتاجر الرقمية
التقرير يطرح تساؤلاً حول حدود فحص التطبيقات في المتاجر الرسمية، فرغم أن متجر جوجل بلاي يطبق سياسات أمان معروفة، فإن كثافة التطبيقات وتسارع التطوير يجعلان من الصعب رصد الأسرار المدمجة في الشيفرة قبل النشر، ومع تراكم الأدلة على تسريبات واسعة النطاق، يبدو أن الاعتماد على الفحص المسبق وحده لم يعد كافيًا.
المسألة أعمق من مجرد أداة حماية أو تحديث عابر، إذ تتعلق بكيفية بناء البرمجيات، ومن يتحمل مسؤولية حماية بيانات المستخدم في عصر يعتمد فيه الجميع على الخدمات السحابية والذكاء الاصطناعي.
ما يتركه هذا التحقيق ليس خوفًا بقدر ما هو دعوة صامتة لإعادة التفكير، كل تطبيق ذكي يعد بالراحة يحمل في داخله قرارًا أخلاقيًا حول الأمان، ونتائج هذا القرار لا تبقى مخفية في الشيفرة طويلًا.
