كشف تحقيق أمني شامل عن أن العديد من تطبيقات أندرويد المتاحة على متجر Google Play تعاني من ثغرات خطيرة، قد تؤدي إلى كشف بيانات حساسة وأسرار خاصة، وتركز التحليل على التطبيقات التي تدّعي تقديم ميزات ذكاء اصطناعي، حيث وُجدت عيوب واسعة النطاق في إدارة البيانات، تتجاوز الأخطاء الفردية للمطورين.
حجم التسريبات
قام باحثو Cybernews بتحليل 1.8 مليون تطبيق أندرويد، وحددوا 38,630 تطبيقًا مدعومًا بالذكاء الاصطناعي، وفحصوا الأكواد الداخلية للكشف عن بيانات اعتماد مسربة وإشارات لخدمات سحابية، وكانت النتائج صادمة، حيث أظهرت أن حوالي 72% من التطبيقات التي تم تحليلها تحتوي على أسرار مدمجة مباشرة في كود التطبيق، بمعدل تسريب يقارب 5.1 أسرار لكل تطبيق متأثر.
أسرار مدمجة في الكود
إجمالًا، تم تحديد 197,092 سرًا فريدًا، مما يشير إلى أن ممارسات الترميز غير الآمنة لا تزال سائدة رغم التحذيرات الطويلة الأمد، فقد ارتبط أكثر من 81% من الأسرار المكتشفة ببنية جوجل السحابية، مثل معرفات المشاريع ومفاتيح API وقواعد بيانات Firebase وأحواض التخزين، وتم تحديد 26,424 نقطة نهاية لجوجل كلاود مدمجة في الأكواد، ومع ذلك، كان حوالي ثلثيها مرتبطًا ببنية تحتية لم تعد موجودة، ومن النقاط المتبقية، كانت 8,545 من أحواض التخزين لا تزال موجودة وتتطلب مصادقة، بينما كانت المئات الأخرى مضبوطة بشكل خاطئ ومفتوحة للعامة، مما يعرض أكثر من 200 مليون ملف، بإجمالي يصل إلى حوالي 730 تيرابايت من بيانات المستخدمين.
قواعد بيانات غير محمية
كما اكتشف الباحثون 285 قاعدة بيانات Firebase بدون أي ضوابط مصادقة، مما أدى إلى تسريب ما لا يقل عن 1.1 جيجابايت من بيانات المستخدمين، وفي 42% من هذه القواعد، وجد الباحثون جداول موسومة كمثال على المفهوم، مما يدل على اختراق سابق من قبل مهاجمين، واحتوت قواعد بيانات أخرى على حسابات إدارية مرتبطة بعناوين بريد إلكتروني بنمط المهاجم، مما يشير إلى أن الاستغلال لم يكن نظرًا بل قائمًا بالفعل، وقد ظل الكثير من هذه القواعد غير محمية رغم وجود علامات واضحة على التسلل، مما يشير إلى ضعف المراقبة بدلًا من أخطاء مؤقتة.
مفاتيح الذكاء الاصطناعي وأدوات الدفع
رغم المخاوف المتعلقة بميزات الذكاء الاصطناعي، كانت مفاتيح واجهات برمجة التطبيقات للنماذج اللغوية الكبيرة نادرة نسبيًا، وظهرت فقط بعض المفاتيح المرتبطة بمزودي خدمات رئيسيين مثل OpenAI وGoogle Gemini وClaude، وفي التكوينات المعتادة، تسمح هذه المفاتيح للمهاجمين بتقديم طلبات جديدة، لكنها لا تمنح وصولًا للمحادثات المخزنة أو المطالبات السابقة أو الردود السابقة، وكانت أخطر الثغرات مرتبطة بالبنية التحتية للدفع المباشر، مثل مفاتيح Stripe المسربة التي تمنح السيطرة الكاملة على أنظمة الدفع، كما مكنّت بيانات اعتماد أخرى من الوصول إلى منصات الاتصال والتحليلات وبيانات العملاء، مما يسمح بانتحال هوية التطبيقات أو استخراج البيانات دون إذن.
