Hundredvis af iPhone-apps, der benytter kunstig intelligens, har eksponeret følsomme legitimationsoplysninger, som angribere kan udnytte til at få adgang til betalte AI-tjenester. En ny undersøgelse viser, at næsten to tredjedele af de analyserede apps indeholdt sikkerhedsfejl, som afslørede API-nøgler, autentificeringstokens eller andre legitimationsoplysninger knyttet til populære AI-platforme.
Resultaterne tyder på, at mange udviklere fortsat begår grundlæggende sikkerhedsfejl i deres hastværk med at integrere AI-funktioner. I takt med at AI-drevne apps bliver stadig mere udbredte, kan disse fejl skabe økonomiske, operationelle og sikkerhedsmæssige risici for både udviklere og brugere.
Forskere afdækkede omfattende eksponering
Undersøgelsen analyserede 444 iOS-applikationer, der anvendte store sprogmodeller og andre AI-teknologier. Forskerne identificerede sikkerhedsproblemer i 282 af dem.
Mange apps gemte legitimationsoplysninger direkte i applikationens kode. Angribere kan ofte udtrække disse oplysninger gennem reverse engineering og derefter bruge dem til at kommunikere med AI-tjenester uden for den tilsigtede applikation.
Forskerne fandt også svage autentificeringskontroller, som ikke korrekt validerede forespørgsler sendt til backend-systemer.
Omfanget overraskede forskerholdet, fordi de eksponerede legitimationsoplysninger optrådte i et bredt udvalg af applikationer og ikke kun i en mindre gruppe af dårligt vedligeholdte produkter.
Angribere kan misbruge betalte AI-tjenester
API-nøgler fungerer som adgangsbilletter, der gør det muligt for applikationer at kommunikere med AI-udbydere. Når udviklere eksponerer disse nøgler, kan angribere potentielt bruge dem til at sende egne forespørgsler via de berørte konti.
I mange tilfælde medfører denne aktivitet omkostninger for appudvikleren frem for angriberen.
Forskerne advarer om, at eksponerede legitimationsoplysninger kan gøre det muligt for trusselsaktører at forbruge store mængder AI-ressourcer, automatisere misbrug eller få adgang til backend-systemer, som er forbundet med applikationerne.
Problemet påvirker flere AI-udbydere, hvilket viser, at årsagen primært ligger i usikre implementeringsmetoder og ikke i svagheder hos en bestemt platform.
AI-boomet fører til sikkerhedsgenveje
Den hurtige vækst inden for AI-applikationer har skabt et betydeligt pres på udviklere for hurtigt at lancere nye funktioner. Sikkerhedsforskere mener, at dette tempo bidrager til dårlige praksisser omkring håndtering af legitimationsoplysninger.
Mange udviklere fokuserer kraftigt på funktionalitet, men giver mindre opmærksomhed til, hvordan applikationer opbevarer hemmeligheder og kommunikerer med eksterne tjenester.
Resultatet er et stigende antal apps, der eksponerer information, som angribere let kan udtrække.
Sikkerhedsprofessionelle har advaret mod hardkodede legitimationsoplysninger i årevis. På trods af disse advarsler er praksissen stadig udbredt i både mobilapps og webapplikationer.
Mange udviklere undlod at løse problemet
Forskerne kontaktede de berørte udviklere efter at have opdaget sårbarhederne. Alligevel forblev mange applikationer eksponerede længe efter, at de havde modtaget besked om problemerne.
Den langsomme reaktion vækker bekymring om den generelle sikkerhedsmodenhed i det mobile AI-økosystem. Angribere overvåger ofte offentlige afsløringer og retter sig mod applikationer, der ikke udbedrer kendte svagheder.
Efterhånden som anvendelsen af AI accelererer, forventer eksperter, at trusselsaktører vil fokusere endnu mere på eksponerede legitimationsoplysninger og utilstrækkeligt beskyttede backend-systemer.
Konklusion
De eksponerede AI-legitimationsoplysninger i hundredvis af iPhone-apps fremhæver en voksende sikkerhedsudfordring i AI-branchen. Forskerne fandt, at mange udviklere fortsat eksponerer følsomme nøgler og benytter svage autentificeringskontroller, hvilket skaber muligheder for misbrug og uautoriseret adgang.
Resultaterne understreger, at sikker implementering er lige så vigtig som innovation. Mens udviklere konkurrerer om at tilføje nye AI-funktioner, vil stærk håndtering af legitimationsoplysninger og effektive adgangskontroller være afgørende for at beskytte både tjenester og brugere.
0 svar til “AI-appoplysninger eksponeret i hundredvis af iPhone-apps”