Hundrevis av iPhone-apper som bruker kunstig intelligens har eksponert sensitive innloggingsopplysninger som angripere kan utnytte for å få tilgang til betalte AI-tjenester. En ny studie viser at nesten to tredjedeler av de undersøkte appene inneholdt sikkerhetssvakheter som eksponerte API-nøkler, autentiseringstokener eller andre legitimasjonsopplysninger knyttet til populære AI-plattformer.
Funnene tyder på at mange utviklere fortsatt gjør grunnleggende sikkerhetsfeil mens de skynder seg å integrere AI-funksjoner. Etter hvert som AI-drevne apper blir stadig vanligere, kan disse feilene skape økonomiske, operative og sikkerhetsmessige risikoer for både utviklere og brukere.
Forskere avdekket omfattende eksponering
Studien undersøkte 444 iOS-applikasjoner som benyttet store språkmodeller og andre AI-teknologier. Forskerne oppdaget sikkerhetsproblemer i 282 av dem.
Mange apper lagret legitimasjonsopplysninger direkte i applikasjonens kode. Angripere kan ofte hente ut slike opplysninger gjennom reverse engineering og deretter bruke dem til å kommunisere med AI-tjenester utenfor den tiltenkte applikasjonen.
Forskerne identifiserte også svake autentiseringskontroller som ikke verifiserte forespørsler til backend-systemer på en tilstrekkelig måte.
Omfanget overrasket forskerne fordi de eksponerte opplysningene dukket opp i et bredt spekter av applikasjoner og ikke bare i et lite antall dårlig vedlikeholdte produkter.
Angripere kan misbruke betalte AI-tjenester
API-nøkler fungerer som adgangspass som lar applikasjoner kommunisere med AI-leverandører. Når utviklere eksponerer disse nøklene, kan angripere potensielt bruke dem til å sende egne forespørsler gjennom de berørte kontoene.
I mange tilfeller fører slik aktivitet til kostnader for applikasjonsutvikleren, ikke angriperen.
Forskerne advarer om at eksponerte legitimasjonsopplysninger kan gjøre det mulig for trusselaktører å forbruke store mengder AI-ressurser, automatisere misbruk eller få tilgang til backend-systemer som er koblet til applikasjonene.
Problemet påvirker flere AI-leverandører, noe som viser at årsaken hovedsakelig ligger i usikre implementeringspraksiser og ikke i svakheter hos én spesifikk plattform.
AI-boomen fører til sikkerhetsmessige snarveier
Den raske veksten innen AI-applikasjoner har skapt et betydelig press på utviklere for å lansere nye funksjoner raskt. Sikkerhetsforskere mener at dette tempoet bidrar til svak håndtering av legitimasjonsopplysninger.
Mange utviklere fokuserer sterkt på funksjonalitet, men legger mindre vekt på hvordan applikasjoner lagrer hemmeligheter og kommuniserer med eksterne tjenester.
Resultatet er et økende antall apper som eksponerer informasjon angripere enkelt kan hente ut.
Sikkerhetseksperter har advart mot hardkodede legitimasjonsopplysninger i årevis. Til tross for disse advarslene er praksisen fortsatt utbredt i både mobilapper og webapplikasjoner.
Mange utviklere rettet ikke problemet
Forskerne kontaktet de berørte utviklerne etter å ha oppdaget sårbarhetene. Likevel forble mange applikasjoner eksponert lenge etter at de hadde mottatt varsling.
Den langsomme responsen vekker bekymring rundt den generelle sikkerhetsmodenheten i det mobile AI-økosystemet. Angripere overvåker ofte offentlige avsløringer og retter seg mot applikasjoner som ikke utbedrer kjente svakheter.
Etter hvert som AI-bruken øker, forventer eksperter at trusselaktører vil rette stadig større oppmerksomhet mot eksponerte legitimasjonsopplysninger og utilstrekkelig beskyttede backend-systemer.
Konklusjon
De eksponerte AI-legitimasjonsopplysningene i hundrevis av iPhone-apper fremhever en voksende sikkerhetsutfordring i AI-bransjen. Forskerne fant at mange utviklere fortsatt eksponerer sensitive nøkler og benytter svake autentiseringskontroller, noe som skaper muligheter for misbruk og uautorisert tilgang.
Funnene fungerer som en påminnelse om at sikker implementering er like viktig som innovasjon. Mens utviklere konkurrerer om å lansere nye AI-funksjoner, vil sterk håndtering av legitimasjonsopplysninger og robuste tilgangskontroller være avgjørende for å beskytte både tjenester og brukere.
0 responses to “AI-applegitimasjon eksponert i hundrevis av iPhone-apper”