Hunderte von iPhone-Apps, die künstliche Intelligenz nutzen, haben sensible Zugangsdaten offengelegt, die Angreifer missbrauchen könnten, um auf kostenpflichtige KI-Dienste zuzugreifen. Eine neue Studie zeigt, dass nahezu zwei Drittel der untersuchten Apps Sicherheitslücken enthielten, durch die API-Schlüssel, Authentifizierungs-Token oder andere Zugangsdaten zu bekannten KI-Plattformen offengelegt wurden.
Die Ergebnisse deuten darauf hin, dass viele Entwickler weiterhin grundlegende Sicherheitsfehler machen, während sie KI-Funktionen möglichst schnell integrieren wollen. Mit der zunehmenden Verbreitung von KI-gestützten Anwendungen könnten diese Fehler finanzielle, operative und sicherheitsrelevante Risiken für Entwickler und Nutzer verursachen.
Forscher entdeckten weitverbreitete Offenlegung
Die Studie untersuchte 444 iOS-Anwendungen, die große Sprachmodelle und andere KI-Technologien einsetzen. Die Forscher fanden Sicherheitsprobleme in 282 davon.
Viele Apps speicherten Zugangsdaten direkt im Anwendungscode. Angreifer können solche Informationen häufig durch Reverse Engineering extrahieren und anschließend verwenden, um außerhalb der eigentlichen Anwendung mit KI-Diensten zu kommunizieren.
Die Forscher identifizierten außerdem schwache Authentifizierungsmechanismen, die Anfragen an Backend-Systeme nicht ausreichend überprüften.
Das Ausmaß überraschte das Forschungsteam, da die offengelegten Zugangsdaten in einer Vielzahl von Anwendungen auftauchten und nicht nur bei einigen wenigen schlecht gepflegten Produkten.
Angreifer könnten kostenpflichtige KI-Dienste missbrauchen
API-Schlüssel fungieren als digitale Zugangsausweise, die Anwendungen die Kommunikation mit KI-Anbietern ermöglichen. Werden diese Schlüssel offengelegt, können Angreifer sie potenziell nutzen, um eigene Anfragen über die betroffenen Konten zu senden.
In vielen Fällen entstehen die dadurch verursachten Kosten nicht für die Angreifer, sondern für die Entwickler der jeweiligen Anwendung.
Die Forscher warnen, dass offengelegte Zugangsdaten es Bedrohungsakteuren ermöglichen könnten, große Mengen an KI-Ressourcen zu verbrauchen, Missbrauch zu automatisieren oder Zugriff auf Backend-Systeme zu erhalten, die mit den Anwendungen verbunden sind.
Das Problem betrifft mehrere KI-Anbieter und zeigt, dass die Ursache hauptsächlich in unsicheren Implementierungspraktiken liegt und nicht in Schwachstellen einer bestimmten Plattform.
KI-Boom führt zu Sicherheitsabkürzungen
Das rasante Wachstum von KI-Anwendungen hat erheblichen Druck auf Entwickler ausgeübt, neue Funktionen möglichst schnell bereitzustellen. Sicherheitsexperten vermuten, dass dieses Tempo zu mangelhaften Praktiken beim Umgang mit Zugangsdaten beiträgt.
Viele Entwickler konzentrieren sich stark auf die Funktionalität ihrer Anwendungen und schenken der sicheren Speicherung von Geheimnissen sowie der Kommunikation mit externen Diensten weniger Aufmerksamkeit.
Das Ergebnis ist eine wachsende Zahl von Apps, die Informationen preisgeben, welche Angreifer relativ einfach extrahieren können.
Sicherheitsexperten warnen seit Jahren vor fest im Code hinterlegten Zugangsdaten. Trotz dieser Warnungen bleibt die Praxis sowohl bei mobilen Anwendungen als auch bei Webanwendungen weit verbreitet.
Viele Entwickler reagierten nicht auf die Warnungen
Die Forscher informierten die betroffenen Entwickler nach der Entdeckung der Schwachstellen. Dennoch blieben viele Anwendungen auch lange nach der Benachrichtigung weiterhin verwundbar.
Die langsame Reaktion wirft Fragen zur allgemeinen Sicherheitsreife des mobilen KI-Ökosystems auf. Angreifer beobachten häufig öffentliche Offenlegungen und konzentrieren sich gezielt auf Anwendungen, die bekannte Schwachstellen nicht beheben.
Mit der zunehmenden Verbreitung von KI erwarten Experten, dass Bedrohungsakteure verstärkt nach offengelegten Zugangsdaten und unzureichend geschützten Backend-Systemen suchen werden.
Fazit
Die offengelegten KI-Zugangsdaten in Hunderten von iPhone-Apps verdeutlichen eine wachsende Sicherheitsherausforderung in der KI-Branche. Die Forscher stellten fest, dass viele Entwickler weiterhin sensible Schlüssel offenlegen und auf schwache Authentifizierungsmechanismen setzen, wodurch Möglichkeiten für Missbrauch und unbefugten Zugriff entstehen.
Die Ergebnisse erinnern daran, dass eine sichere Implementierung genauso wichtig ist wie Innovation. Während Entwickler darum konkurrieren, neue KI-Funktionen bereitzustellen, bleiben ein sorgfältiger Umgang mit Zugangsdaten und robuste Zugriffskontrollen entscheidend für den Schutz von Diensten und Nutzern.
0 Kommentare zu „Zugangsdaten von KI-Apps in Hunderten iPhone-Apps offengelegt“