- Os serviços do Google Cloud dominam as credenciais vazadas em todo o ecossistema Android
- Centenas de bancos de dados Firebase mostram sinais claros de comprometimento automatizado
- Buckets de armazenamento expostos vazaram centenas de milhões de arquivos
Uma grande investigação de segurança analisou 1,8 milhão de aplicativos Android disponíveis no Google Play Storeconcentrando-se naqueles que reivindicam explicitamente recursos de IA e identificou falhas de segurança preocupantes que podem expor segredos.
Do grupo de pesquisa inicial, Notícias cibernéticas pesquisadores identificaram 38.630 aplicativos Android AI e examinaram seu código interno em busca de credenciais expostas e referências de serviços em nuvem, encontrando falhas generalizadas no tratamento de dados que iam muito além de erros isolados do desenvolvedor.
No geral, os pesquisadores descobriram que quase três quartos (72%) dos aplicativos de IA Android analisados continham pelo menos um segredo codificado incorporado diretamente no código do aplicativo – e, em média, cada aplicativo afetado vazou 5,1 segredos.
Segredos codificados permanecem comuns em aplicativos Android AI
No total, os investigadores identificaram 197.092 segredos únicos em todo o conjunto de dados, mostrando que as práticas de codificação inseguras continuam generalizadas, apesar dos avisos de longa data.
Mais de 81% de todos os segredos detectados estavam vinculados à infraestrutura do Google Cloud, incluindo identificadores de projetos, chaves de API, bancos de dados Firebase e buckets de armazenamento.
Dos endpoints codificados do Google Cloud detectados, 26.424 foram identificados, embora cerca de dois terços apontassem para infraestrutura que não existia mais.
Entre os endpoints restantes, 8.545 buckets de armazenamento do Google Cloud ainda existiam e exigiam autenticação, enquanto centenas foram configurados incorretamente e deixados acessíveis ao público – possivelmente expondo mais de 200 milhões de arquivos, totalizando quase 730 TB de dados do usuário.
O estudo também identificou 285 bancos de dados Firebase sem nenhum controle de autenticação, vazando coletivamente pelo menos 1,1 GB de dados de usuários.
Em 42% desses bancos de dados expostos, os pesquisadores encontraram tabelas rotuladas como prova de conceito, indicando comprometimento prévio por parte dos invasores.
Outros bancos de dados continham contas de administrador criadas com endereços de e-mail do tipo invasor, mostrando que a exploração não era teórica, mas já estava em andamento.
Muitas destas bases de dados permaneceram inseguras mesmo após sinais claros de intrusão, sugerindo uma monitorização deficiente, em vez de erros únicos.
Apesar da preocupação com os recursos de IA, vazou modelo de linguagem grande As chaves de API eram relativamente raras: apenas um pequeno número de chaves associadas a grandes provedores, como OpenAI, Google Gemini e Claude, foi detectado em todo o conjunto de dados.
Em configurações típicas, essas chaves vazadas permitiriam que os invasores enviassem novas solicitações, mas não forneceriam acesso a conversas armazenadas, solicitações históricas ou respostas anteriores.
Algumas das exposições mais graves envolveram infraestrutura de pagamento em tempo real, incluindo chaves secretas vazadas do Stripe, capazes de conceder controle total sobre os sistemas de pagamento.
Outras credenciais vazadas permitiram acesso a plataformas de comunicação, análise e dados de clientes, permitindo a representação de aplicativos ou extração não autorizada de dados.
Estas falhas não podem ser mitigadas por ferramentas básicas como um firewall ou remoção de malware ferramentas após a exposição ter ocorrido.
A escala dos dados expostos e o número de aplicações já comprometidas sugerem que a triagem da loja de aplicações por si só não reduziu o risco sistémico.
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.