النتائج الرئيسية للتحقيق
أظهر التحقيق أن عددًا كبيرًا من تطبيقات أندرويد المتاحة على متجر Google Play تتعرض لثغرات خطيرة قد تكشف بيانات حساسة وأسرار خاصة، حيث ركزت الدراسة على التطبيقات التي تدّعي امتلاك ميزات ذكاء اصطناعي، ووجدت عيوب واسعة النطاق في إدارة البيانات تتجاوز أخطاء المطورين الفردية.
حجم التسريبات وتوزيعها
أظهر التحليل تحليل 1.8 مليون تطبيق أندرويد، وتحديد 38,630 تطبيقًا مدعومًا بالذكاء الاصطناعي، وفحص الأكواد لكشف بيانات اعتماد ومسارات لخدمات سحابية، فكانت النتائج صادمة إذ توجد أسرار مدمجة في نحو 72% من التطبيقات بنحو 5.1 أسرار لكل تطبيق متأثر.
أسرار مدمجة في الكود وبنيته
أشار التقييم إلى وجود 197,092 سرًا فريدًا في الأكواد، ما يبرز أن ممارسات الترميز غير الآمنة لا تزال شائعة رغم التحذيرات الطويلة الأمد، وأن أكثر من 81% من الأسرار مرتبطة ببنية جوجل السحابية مثل معرفات المشاريع ومفاتيح API وقواعد بيانات Firebase وأحواض التخزين.
حدد الباحثون 26,424 نقطة نهاية لجوجل كلاود مدمجة في الأكواد، ثلثها تقريبًا مرتبط بالبنية التحتية التي لم تعد موجودة، وباقيها كشفت أن 8,545 من أحواض التخزين لا تزال موجودة وتحتاج إلى مصادقة، بينما كانت المئات الأخرى مضبوطة بشكل خاطئ ومفتوحة للعامة، ما قد يعرض مئات الملايين من الملفات بإجمالي نحو 730 تيرابايت من بيانات المستخدمين.
قواعد بيانات Firebase غير محمية
تبين أن الباحثين اكتشفوا 285 قاعدة بيانات Firebase بدون ضوابط مصادقة، تسربت منها ما لا يقل عن 1.1 جيجابايت من بيانات المستخدمين، وفي 42% من هذه القواعد وجد الباحثون جداول تشبه أمثلة على مفاهيم الاختراق، كما احتوت قواعد أخرى على حسابات إدارية مرتبطة بعناوين بريد إلكتروني بأسلوب المهاجم، ما يدل على أن الاستغلال لم يكن نظريًا بل قائمًا بالفعل.
مفاتيح الذكاء الاصطناعي وأدوات الدفع
أشار التقييم إلى أن مفاتيح واجهات برمجة التطبيقات للنماذج اللغوية كانت نادرة نسبيًا، وظهرت فقط مفاتيح مرتبطة بمزودي خدمات رئيسيين مثل OpenAI وGoogle Gemini وClaude. في التكوينات المعتادة، تسمح هذه المفاتيح بتنفيذ طلبات جديدة لكنها لا تمنح وصولًا للمحادثات المخزنة أو المطالبات السابقة.
تبين أن أخطر الثغرات مرتبطة بالبنية التحتية للدفع المباشر، مثل مفاتيح Stripe المسربة التي تمنح السيطرة الكاملة على أنظمة الدفع، كما أن بيانات اعتماد أخرى سمحت بالوصول إلى منصات الاتصال والتحليلات وبيانات العملاء، ما يسمح بانتحال هوية التطبيقات أو استخراج البيانات دون إذن.
