كشف تحقيق أمني شامل عن أن عددًا كبيرًا من تطبيقات أندرويد المتاحة على متجر Google Play تتعرض لثغرات خطيرة قد تكشف بيانات حساسة وأسرار خاصة، التحقيق ركز على التطبيقات التي تدّعي امتلاك ميزات ذكاء اصطناعي، ووجدت عيوبًا واسعة النطاق في إدارة البيانات تتجاوز أخطاء المطورين الفردية.
قام باحثو Cybernews بتحليل 1.8 مليون تطبيق أندرويد، وحددوا 38,630 تطبيقًا مدعومًا بالذكاء الاصطناعي، وفحصوا الأكواد الداخلية للكشف عن بيانات اعتماد مسربة وإشارات لخدمات سحابية، النتائج كانت صادمة: حوالي 72% من التطبيقات التي تم تحليلها تحتوي على سر مدمج مباشرة في كود التطبيق، وبمعدل تسريب حوالي 5.1 أسرار لكل تطبيق متأثر.
إجمالًا، تم تحديد 197,092 سرًا فريدًا، مما يوضح أن ممارسات الترميز غير الآمنة لا تزال منتشرة رغم التحذيرات الطويلة المدى، أكثر من 81% من الأسرار المكتشفة مرتبطة ببنية جوجل السحابية، مثل معرفات المشاريع ومفاتيح API وقواعد بيانات Firebase وأحواض التخزين.
قد يهمك أيضًا: تقنية ProMotion تصل إلى آيفون 17 العادى بعد سنوات من حصرها في نسخ Pro
تم تحديد 26,424 نقطة نهاية لجوجل كلاود مدمجة في الأكواد، ومع ذلك كان حوالي ثلثيها مرتبطًا ببنية تحتية لم تعد موجودة، من النقاط المتبقية، كانت 8,545 من أحواض التخزين لا تزال موجودة وتتطلب مصادقة، بينما كانت المئات الأخرى مضبوطة بشكل خاطئ ومفتوحة للعامة، ما قد يعرض أكثر من 200 مليون ملف، بإجمالي يصل إلى حوالي 730 تيرابايت من بيانات المستخدمين.
كما اكتشف الباحثون 285 قاعدة بيانات Firebase بدون أي ضوابط مصادقة، مسربة ما لا يقل عن 1.1 جيجابايت من بيانات المستخدمين، في 42% من هذه القواعد، وجد الباحثون جداول موسومة كمثال على المفهوم، مما يشير إلى اختراق سابق من قبل مهاجمين، قواعد بيانات أخرى احتوت على حسابات إدارية مرتبطة بعناوين بريد إلكتروني بأسلوب المهاجم، مما يدل على أن الاستغلال لم يكن نظريًا بل قائمًا بالفعل.
الكثير من هذه القواعد ظلت غير محمية رغم وجود علامات واضحة على التسلل، مما يشير إلى ضعف المراقبة بدلًا من أخطاء مؤقتة.
رغم القلق حول ميزات الذكاء الاصطناعي، كانت مفاتيح واجهات برمجة التطبيقات للنماذج اللغوية الكبيرة نادرة نسبيًا، وظهرت فقط بعض المفاتيح المرتبطة بمزودي خدمات رئيسيين مثل OpenAI وGoogle Gemini وClaude.
في التكوينات المعتادة، تسمح هذه المفاتيح للمهاجمين بتقديم طلبات جديدة، لكنها لا تمنح وصولًا للمحادثات المخزنة أو المطالبات السابقة أو الردود السابقة.
كانت أخطر الثغرات مرتبطة بالبنية التحتية للدفع المباشر، مثل مفاتيح Stripe المسربة التي تمنح السيطرة الكاملة على أنظمة الدفع، كما مكّنت بيانات اعتماد أخرى من الوصول إلى منصات الاتصال والتحليلات وبيانات العملاء، ما يسمح بانتحال هوية التطبيقات أو استخراج البيانات دون إذن.
