افشای گسترده اسرار گوگل در اپهای هوش مصنوعی اندروید؛ ۷۰۰ ترابایت داده کاربران در معرض خطر
یک تحقیق جدید نشان میدهد هزاران اپلیکیشن هوش مصنوعی اندرویدی با هاردکد کردن کلیدها و اسرار حساس، میلیونها کاربر را در معرض خطر قرار دادهاند؛ بهطوریکه تاکنون بیش از ۷۰۰ ترابایت داده از طریق سرویسهای ابری گوگل بهصورت ناامن افشا شده است.
به گزارش توسعه برند؛ بررسیهای تازه نشان میدهد توسعهدهندگان اپهای هوش مصنوعی اندروید همچنان به یکی از بدترین رویههای امنیتی یعنی هاردکد کردن اسرار حساس در کد برنامهها متکی هستند؛ اقدامی که حالا به افشای گسترده دادهها در مقیاسی کمسابقه منجر شده است. در این بررسی، ۱.۸ میلیون اپلیکیشن اندرویدی در فروشگاه گوگل پلی تحلیل شده و مشخص شده است که ۷۲ درصد از اپها حداقل یک کلید یا شناسه حساس را در کد خود ذخیره کردهاند؛ بهطوریکه هر اپ بهطور میانگین ۵.۱ راز امنیتی را افشا میکند.
بر اساس یافتهها، بیش از ۸۱ درصد از این اسرار به سرویسهای Google Cloud مربوط میشود؛ از جمله کلیدهای API، شناسه پروژهها و آدرسهای زیرساختی. در نتیجه نشت این اطلاعات، پایگاههای داده ناامن Firebase و مخازن Google Cloud Storage تاکنون بیش از ۲۰۰ میلیون فایل شامل اطلاعات شخصی کاربران را در دسترس عموم قرار دادهاند که حجم آنها به حدود ۷۳۰ ترابایت میرسد.
پژوهشگران میگویند صدها اپلیکیشن هوش مصنوعی پیشتر بهطور فعال مورد سوءاستفاده قرار گرفتهاند. در ۴۲ درصد از پایگاههای داده افشاشده، جدولهایی با نام «poc» (مخفف proof of concept) دیده شده که نشانه آزمایش موفق نفوذ است. در برخی موارد، حتی حسابهای مدیریتی جعلی با ایمیلهایی مانند attacker@evil.com در دیتابیسها ایجاد شدهاند.
“”توسعه برند را در اینستاگرام و تلگرام و لینکدین دنبال کنید””
در کنار سرویسهای گوگل، کلیدهایی مرتبط با AWS، متا، پلتفرمهای بازاریابی، سرویسهای پیامرسان و APIهای مالی نیز در کد اپها شناسایی شده است. کارشناسان هشدار میدهند برخی از این کلیدها، بهویژه کلیدهای زنده Stripe، میتوانند به مهاجمان امکان کنترل کامل زیرساخت پرداخت، برداشت پول، صدور فاکتور جعلی یا دستکاری حساب کاربران را بدهند. به گفته یکی از تحلیلگران امنیت سایبری:
«در این سطح از دسترسی، تهدید فقط نظری نیست و میتواند مستقیماً به سرقت پول و سوءاستفاده مالی منجر شود.»
در عین حال، بررسیها نشان میدهد کلیدهای API مدلهای زبانی بزرگ مانند OpenAI، Gemini و Claude بهندرت در کد اپها افشا شدهاند. حتی در صورت نشت این کلیدها، مهاجمان معمولاً به مکالمات کاربران یا دادههای ذخیرهشده دسترسی ندارند و دامنه آسیب محدودتر است.
با این حال، متخصصان معتقدند مشکل اصلی فقط افشای داده نیست، بلکه ضعف ساختاری در بهداشت توسعه نرمافزار است. حجم بالای ارجاعات به زیرساختهای ابری حذفشده یا غیرفعال نشان میدهد بسیاری از اپها بدون پاکسازی یا بازبینی امنیتی منتشر میشوند؛ وضعیتی که هم شناسایی تهدیدها را دشوار میکند و هم فرصتهای تازهای برای مهاجمان فراهم میآورد. به گفته کارشناسان، این یافتهها نشان میدهد بحران امنیتی اپهای هوش مصنوعی اندروید، به یک چالش گسترده و سیستماتیک در اکوسیستم این پلتفرم تبدیل شده است.
