نطاق التحقيق والنتائج الرئيسية
تشير نتائج التحليل إلى وجود ثغرات خطيرة لدى عدد كبير من تطبيقات Android المتاحة على متجر Google Play، خصوصًا بين التطبيقات التي تدّعي امتلاك ميزات ذكاء اصطناعي، وتجاوزت العيوب في إدارة البيانات أخطاء المطورين الفردية.
حجم التسريبات وأهم النتائج التقنية
أجرى باحثو Cybernews تحليلًا لما يقرب من 1.8 مليون تطبيق أندرويد، فوجدوا أن 38,630 تطبيقًا مدعومًا بالذكاء الاصطناعي يحتوي على إشارات لبيانات اعتماد أو معلومات حساسة مخزنة ضمن الشيفرات الداخلية. كشفت النتائج أن نحو 72% من التطبيقات التي خضعت للتحليل تحتوي على أسرار مدمجة مباشرة في كود التطبيق، وبمتوسط يقدر بنحو 5.1 أسرار لكل تطبيق من المتأثرين.
أسرار مدمجة في الكود
إجمالًا تم تحديد 197,092 سرًا فريدًا، ما يبرز أن ممارسات الترميز غير الآمنة لا تزال منتشرة رغم التحذيرات الطويلة الأمد. أكثر من 81% من هذه الأسرار مرتبطة ببنية Google السحابية، مثل معرفات المشاريع ومفاتيح API وقواعد بيانات Firebase وأحواض التخزين.
تم تحديد 26,424 نقطة نهاية لجوجل كلاود مدمجة في الأكواد، لكن حوالي ثلثها مرتبط ببنية تحتية لم تعد موجودة. من النقاط المتبقية، كانت 8,545 من أحواض التخزين ما زالت موجودة وتطلب المصادقة، بينما كانت المئات الأخرى مضبوطة بشكل خاطئ ومفتوحة للعامة، ما قد يعرض أكثر من 200 مليون ملف، وبإجمالي يصل إلى نحو 730 تيرابايت من بيانات المستخدمين.
قواعد بيانات غير محمية
اكتشف الباحثون 285 قاعدة بيانات Firebase بدون ضوابط مصادقة، تسربت منها ما لا يقل عن 1.1 جيجابايت من بيانات المستخدمين. في 42% من هذه القواعد، ظهرت جداول كمفاهيم نموذجية تشير إلى اختراق سابق من قبل مهاجمين، كما احتوت قواعد أخرى على حسابات إدارية مرتبطة بعناوين بريد إلكتروني تخص المهاجمين، ما يدل على أن الاستغلال لم يكن نظريًا بل قائمًا بالفعل. تظل هذه القواعد غير محمية رغم وجود علامات على التسلل، الأمر الذي يشير إلى ضعف في المراقبة بدلًا من أخطاء مؤقتة.
مفاتيح الذكاء الاصطناعي وأدوات الدفع
رغم القلق حول ميزات الذكاء الاصطاني، كانت مفاتيح واجهات برمجة التطبيقات للنماذج اللغوية الكبيرة نادرة نسبيًا، وبدت فقط بعض المفاتيح المرتبطة بمزودي خدمات رئيسيين مثل OpenAI وGoogle Gemini وClaude. تسمح هذه المفاتيح عادةً بتقديم طلبات جديدة، لكنها لا تتيح الوصول إلى المحادثات المخزنة أو المحفوظات. وتعتبر الثغرات الأكثر خطورة مرتبطة بالبنية التحتية للدفع المباشر، مثل مفاتيح Stripe المسربة التي تمنح السيطرة الكاملة على أنظمة الدفع، بينما تتيح بيانات اعتماد أخرى الوصول إلى منصات الاتصالات والتحليلات وبيانات العملاء، ما يمكّن من انتحال هوية التطبيقات أو استخراج البيانات دون إذن.
