تكنولوجيا / اليوم السابع

تقرير: الذكاء الاصطناعى على متجر أندرويد تسرب بيانات المستخدمين

0 نشر
0 تبليغ

كشف تحقيق أمني شامل عن أن عددًا كبيرًا من أندرويد المتاحة على متجر Google Play تتعرض لثغرات خطيرة قد تكشف بيانات حساسة وأسرار خاصة، التحقيق ركز على التطبيقات التي تدّعي امتلاك ميزات ذكاء اصطناعي، ووجدت عيوبًا واسعة النطاق في إدارة البيانات تتجاوز أخطاء المطورين الفردية.

حجم التسريبات

قام باحثو Cybernews بتحليل 1.8 مليون أندرويد، وحددوا 38,630 تطبيقًا مدعومًا بالذكاء الاصطناعي، وفحصوا الأكواد الداخلية للكشف عن بيانات اعتماد مسربة وإشارات لخدمات سحابية، النتائج كانت صادمة: حوالي 72% من التطبيقات التي تم تحليلها تحتوي على سر مدمج مباشرة في كود التطبيق، وبمعدل تسريب حوالي 5.1 أسرار لكل تطبيق متأثر.

 

أسرار مدمجة في الكود

إجمالًا، تم تحديد 197,092 سرًا فريدًا، مما يوضح أن ممارسات الترميز غير الآمنة لا تزال منتشرة رغم التحذيرات الطويلة المدى، أكثر من 81% من الأسرار المكتشفة مرتبطة ببنية السحابية، مثل معرفات المشاريع ومفاتيح API وقواعد بيانات Firebase وأحواض التخزين.

تم تحديد 26,424 نقطة نهاية لجوجل كلاود مدمجة في الأكواد، ومع ذلك كان حوالي ثلثيها مرتبطًا ببنية تحتية لم تعد موجودة، من النقاط المتبقية، كانت 8,545 من أحواض التخزين لا تزال موجودة وتتطلب مصادقة، بينما كانت المئات الأخرى مضبوطة بشكل خاطئ ومفتوحة للعامة، ما قد يعرض أكثر من 200 مليون ملف، بإجمالي يصل إلى حوالي 730 تيرابايت من بيانات المستخدمين.

 

قواعد بيانات غير محمية

كما اكتشف الباحثون 285 قاعدة بيانات Firebase بدون أي ضوابط مصادقة، مسربة ما لا يقل عن 1.1 جيجابايت من بيانات المستخدمين، في 42% من هذه القواعد، وجد الباحثون جداول موسومة كمثال على المفهوم، مما يشير إلى اختراق سابق من قبل مهاجمين، قواعد بيانات أخرى احتوت على حسابات إدارية مرتبطة بعناوين بريد إلكتروني بأسلوب المهاجم، مما يدل على أن الاستغلال لم يكن نظريًا بل قائمًا بالفعل.
الكثير من هذه القواعد ظلت غير محمية رغم وجود علامات واضحة على التسلل، مما يشير إلى ضعف المراقبة بدلًا من أخطاء مؤقتة.

 

مفاتيح الذكاء الاصطناعي وأدوات الدفع

رغم القلق حول ميزات الذكاء الاصطناعي، كانت مفاتيح واجهات برمجة التطبيقات للنماذج اللغوية الكبيرة نادرة نسبيًا، وظهرت فقط بعض المفاتيح المرتبطة بمزودي خدمات رئيسيين مثل OpenAI وGoogle Gemini وClaude.
في التكوينات المعتادة، تسمح هذه المفاتيح للمهاجمين بتقديم طلبات جديدة، لكنها لا تمنح وصولًا للمحادثات المخزنة أو المطالبات السابقة أو الردود السابقة.
كانت أخطر الثغرات مرتبطة بالبنية التحتية للدفع المباشر، مثل مفاتيح Stripe المسربة التي تمنح السيطرة الكاملة على أنظمة الدفع، كما مكّنت بيانات اعتماد أخرى من الوصول إلى منصات الاتصال والتحليلات وبيانات العملاء، ما يسمح بانتحال هوية التطبيقات أو استخراج البيانات دون إذن.

 

ملحوظة: مضمون هذا الخبر تم كتابته بواسطة اليوم السابع ولا يعبر عن وجهة نظر مصر اليوم وانما تم نقله بمحتواه كما هو من اليوم السابع ونحن غير مسئولين عن محتوى الخبر والعهدة علي المصدر السابق ذكرة.

الكلمات الدلائليه

إقرأ ايضا

قد تقرأ أيضا