- Layanan Google Cloud mendominasi kebocoran kredensial di seluruh ekosistem Android
- Ratusan database Firebase menunjukkan tanda-tanda jelas adanya penyusupan otomatis
- Ember penyimpanan yang terekspos membocorkan ratusan juta file
Investigasi keamanan besar-besaran telah menganalisis 1,8 juta aplikasi Android yang tersedia di Google Play Tokoberfokus pada perusahaan-perusahaan yang secara eksplisit mengklaim fitur-fitur AI, dan mengidentifikasi kelemahan keamanan yang mengkhawatirkan yang mungkin mengungkap rahasia.
Dari kumpulan penelitian awal, berita siber para peneliti mengidentifikasi 38.630 aplikasi AI Android dan memeriksa kode internalnya untuk mengetahui kredensial yang terekspos dan referensi layanan cloud, menemukan kegagalan penanganan data yang meluas yang jauh melampaui kesalahan pengembang yang terisolasi.
Secara keseluruhan, para peneliti menemukan hampir tiga perempat (72%) dari aplikasi AI Android yang dianalisis berisi setidaknya satu rahasia hardcode yang tertanam langsung dalam kode aplikasi – dan rata-rata, setiap aplikasi yang terpengaruh membocorkan 5,1 rahasia.
Rahasia yang dikodekan secara keras tetap umum di seluruh aplikasi AI Android
Secara total, para peneliti mengidentifikasi 197.092 rahasia unik di seluruh kumpulan data, menunjukkan bahwa praktik pengkodean yang tidak aman masih tersebar luas meskipun sudah ada peringatan sejak lama.
Lebih dari 81% rahasia yang terdeteksi terkait dengan infrastruktur Google Cloud, termasuk ID project, kunci API, database Firebase, dan bucket penyimpanan.
Dari endpoint Google Cloud hardcode yang terdeteksi, 26.424 telah teridentifikasi, meskipun sekitar dua pertiganya menunjuk pada infrastruktur yang sudah tidak ada lagi.
Di antara endpoint yang tersisa, 8.545 keranjang penyimpanan Google Cloud masih ada dan memerlukan autentikasi, sementara ratusan lainnya salah dikonfigurasi dan dibiarkan dapat diakses publik – kemungkinan mengekspos lebih dari 200 juta file, dengan total hampir 730 TB data pengguna.
Studi ini juga mengidentifikasi 285 database Firebase yang tidak memiliki kontrol autentikasi sama sekali, sehingga secara kolektif membocorkan setidaknya 1,1 GB data pengguna.
Dalam 42% dari database yang terekspos ini, peneliti menemukan tabel yang diberi label sebagai bukti konsep, yang mengindikasikan adanya kompromi sebelumnya oleh penyerang.
Basis data lain berisi akun administrator yang dibuat dengan alamat email bergaya penyerang, yang menunjukkan bahwa eksploitasi tidak bersifat teoritis tetapi sudah berlangsung.
Banyak dari database ini tetap tidak aman bahkan setelah ada tanda-tanda penyusupan yang jelas, hal ini menunjukkan pemantauan yang buruk dan bukan kesalahan yang hanya terjadi satu kali saja.
Meskipun ada kekhawatiran seputar fitur AI, bocor model bahasa besar Kunci API relatif jarang – hanya sejumlah kecil kunci yang terkait dengan penyedia besar seperti OpenAI, Google Gemini, dan Claude yang terdeteksi di seluruh kumpulan data.
Dalam konfigurasi umum, kunci yang bocor ini akan memungkinkan penyerang mengirimkan permintaan baru namun tidak akan memberikan akses ke percakapan yang tersimpan, perintah historis, atau respons sebelumnya.
Beberapa paparan yang paling parah melibatkan infrastruktur pembayaran langsung, termasuk kebocoran kunci rahasia Stripe yang mampu memberikan kendali penuh atas sistem pembayaran.
Kredensial lainnya yang bocor memungkinkan akses ke platform komunikasi, analitik, dan data pelanggan, sehingga memungkinkan peniruan identitas aplikasi atau ekstraksi data tanpa izin.
Kegagalan ini tidak dapat diatasi dengan alat dasar seperti a firewall atau penghapusan malware alat setelah paparan terjadi.
Skala data yang terekspos dan jumlah aplikasi yang telah disusupi menunjukkan bahwa penyaringan aplikasi di toko aplikasi saja tidak mengurangi risiko sistemik.
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
