PCWorld报道称,超过100万个安卓应用通过硬编码API密钥和安全漏洞,泄露了高达700 TB的敏感用户数据。研究发现,72%的AI应用代码中包含危险的“密钥”,其中81%与谷歌云(Google Cloud)项目关联,可能导致未授权的第三方访问。用户在安装新应用,尤其是那些要求提供敏感财务或个人信息的AI应用时,应格外谨慎。
1月底,Cybernews的安全研究人员发布了一项关于谷歌应用商店(Google Play Store)中AI应用的研究。该研究显示,大量AI应用安全性不足,导致其无意中从谷歌的云服务器泄露数据。
其后果是,总计高达7.3亿 TB的数据遭到泄露,部分是通过针对性攻击实现的。泄露内容包括敏感的财务数据,黑客可能利用这些数据清空数字钱包。
根据报告,谷歌应用商店中的大多数AI应用使用了一种名为“硬编码”的不安全加密技术,这意味着敏感信息(如API密钥和密码)直接存储在应用的源代码中。显然,在被分析的应用中,有72%的代码至少包含一个硬编码的“密钥”。
同时,所发现的密钥中有81%与谷歌云项目相关,并允许第三方访问谷歌服务。其中一些可能通过自动化攻击被利用。
这是一个普遍存在的问题,主要影响追随当前趋势的新应用。这些应用在开发者没有机会整合足够安全机制的情况下就进入了谷歌应用商店。造成这种情况的典型原因是时间压力,因为AI领域的应用开发迅速,并为了跟上竞争而匆忙上市。
此外,Facebook客户的大量数据也遭到泄露。总计,Cybernews研究团队检查了来自谷歌应用商店的180万个安卓应用。当泄露的数据与处理财务、分析或客户数据的服务相关联时,会构成特别的风险。例如,API密钥可被用来代表用户进行操作、操纵账户或伪造交易记录。
您无需担心与ChatGPT等大型语言模型的对话被泄露。这些知名服务的API基本未受影响,因为它们并非采用硬编码方式创建。但您需要意识到,即使在检测到泄露后,大多数此类应用的安全性也并未得到改善。对许多应用而言,攻击的入口点依然存在。
这对您意味着:从谷歌应用商店安装新应用时务必小心,尤其是当它们要求您披露个人敏感数据时。您永远无法知道开发者对其自身代码的保护程度如何。
在报告的最后,研究人员还指出,受此问题影响的不仅是安卓应用。iOS应用商店(iOS App Store)中的应用也显示出将密钥硬编码到应用中的相同危险趋势。不过,此处的样本量要小得多,仅检查了15.6万个iOS应用(其中约70%同样包含至少一个硬编码密钥)。
