كشف تحقيق أمني شامل عن وجود ثغرات خطيرة في عدد كبير من تطبيقات أندرويد المتاحة على متجر Google Play، حيث تركزت الدراسة على التطبيقات التي تدعي توفر ميزات ذكاء اصطناعي، وكشفت عن عيوب واسعة في إدارة البيانات تتجاوز الأخطاء الفردية للمطورين.
حجم التسريبات
قام باحثو Cybernews بتحليل 1.8 مليون تطبيق أندرويد، وحددوا 38,630 تطبيقًا مدعومًا بالذكاء الاصطناعي، حيث تم فحص الأكواد الداخلية للكشف عن بيانات اعتماد مسربة وإشارات لخدمات سحابية، وكانت النتائج مقلقة إذ أظهرت أن حوالي 72% من التطبيقات التي تم تحليلها تحتوي على أسرار مدمجة مباشرة في كود التطبيق، بمعدل تسريب يقارب 5.1 أسرار لكل تطبيق متأثر.
أسرار مدمجة في الكود
تم تحديد 197,092 سرًا فريدًا، مما يبرز استمرار انتشار ممارسات الترميز غير الآمنة رغم التحذيرات المتكررة، حيث ارتبط أكثر من 81% من الأسرار المكتشفة ببنية جوجل السحابية، مثل معرفات المشاريع ومفاتيح API وقواعد بيانات Firebase وأحواض التخزين، كما تم تحديد 26,424 نقطة نهاية لجوجل كلاود مدمجة في الأكواد، لكن حوالي ثلثيها كان مرتبطًا ببنية تحتية لم تعد موجودة، من النقاط المتبقية، كانت 8,545 من أحواض التخزين لا تزال موجودة وتتطلب مصادقة، بينما كانت المئات الأخرى مضبوطة بشكل خاطئ ومفتوحة للعامة، مما قد يعرض أكثر من 200 مليون ملف بإجمالي يصل إلى حوالي 730 تيرابايت من بيانات المستخدمين.
قواعد بيانات غير محمية
كما اكتشف الباحثون 285 قاعدة بيانات Firebase بدون أي ضوابط مصادقة، مما أدى إلى تسرب ما لا يقل عن 1.1 جيجابايت من بيانات المستخدمين، وفي 42% من هذه القواعد، وجد الباحثون جداول موسومة كمثال على المفهوم، مما يشير إلى اختراق سابق من قبل مهاجمين، بينما احتوت قواعد بيانات أخرى على حسابات إدارية مرتبطة بعناوين بريد إلكتروني بأسلوب المهاجم، مما يدل على أن الاستغلال لم يكن نظريًا بل قائمًا بالفعل، حيث ظلت الكثير من هذه القواعد غير محمية رغم وجود علامات واضحة على التسلل، مما يشير إلى ضعف المراقبة بدلًا من أخطاء مؤقتة.
مفاتيح الذكاء الاصطناعي وأدوات الدفع
رغم القلق بشأن ميزات الذكاء الاصطناعي، كانت مفاتيح واجهات برمجة التطبيقات للنماذج اللغوية الكبيرة نادرة نسبيًا، حيث ظهرت فقط بعض المفاتيح المرتبطة بمزودي خدمات رئيسيين مثل OpenAI وGoogle Gemini وClaude، وفي التكوينات المعتادة، تسمح هذه المفاتيح للمهاجمين بتقديم طلبات جديدة لكنها لا تمنح وصولًا للمحادثات المخزنة أو المطالبات السابقة أو الردود السابقة، بينما كانت أخطر الثغرات مرتبطة بالبنية التحتية للدفع المباشر، مثل مفاتيح Stripe المسربة التي تمنح السيطرة الكاملة على أنظمة الدفع، كما مكّنت بيانات اعتماد أخرى من الوصول إلى منصات الاتصال والتحليلات وبيانات العملاء، مما يسمح بانتحال هوية التطبيقات أو استخراج البيانات دون إذن.