Исследователи Cybernews проанализировали около 1,8 млн. приложений для Android из Google Play, сосредоточившись исключительно на тех, которые так или иначе используют искусственный интеллект. Было обнаружено, что порядка 72% проанализированных приложений с использованием ИИ содержали как минимум один «жестко закодированный секрет», встроенный непосредственно в код приложения — от идентификаторов облачных проектов до API-ключей. В среднем, приложение допускает утечку 5,1 единиц конфиденциальных данных.
Более 81% всех обнаруженных «секретов» были связаны с инфраструктурой Google Cloud, включая идентификаторы проектов, ключи API, базы данных Firebase и хранилища данных. Другими словами, приложения часто содержат ключи непосредственно в коде, которые должны оставаться исключительно на стороне сервера.
В ходе исследования также было выявлено 285 баз данных Firebase, в которых полностью отсутствовали средства аутентификации, что в совокупности привело к утечке как минимум 1,1 Gb пользовательских данных. В совокупности же в результате утечек в Firebase и Google Cloud Storage были раскрыты более 200 млн. файлов, что составляет почти 730 Tb пользовательских данных.
Среди найденных ключей были доступы к сервисам аналитики, коммуникационным платформам и даже платежной инфраструктуре. В отдельных случаях речь шла о боевых ключах Stripe, которые теоретически позволяют управлять платежами — списывать деньги, оформлять возвраты или перенаправлять средства. С API крупных LLM-провайдеров ситуация выглядит лучше. Ключи OpenAI, Gemini или Claude встречались редко и в основном относились к низкому уровню риска. Даже если такой ключ утечет, он, как правило, не дает доступа к истории запросов или диалогам пользователей.
Проблема усугубляется тем, что такие секреты не просто могут быть использованы злоумышленниками, а уже используются. Исследователи Cybernews заявляют, что сотни приложений из всех проанализированных уже были взломаны с помощью автоматизированных эксплойтов. Разработчикам настоятельно рекомендуют избегать жесткой вставки секретов в приложения и использовать защищенные механизмы управления ключами и аутентификацией.
