Auf den Punkt: 282 iOS-AI-Apps exponieren API-Keys und Backend-Credentials ungeschützt im Netzwerk, was kostenpflichtigen Missbrauch auf fremden Konten ermöglicht.
Mehr als zwei Drittel von 444 untersuchten iOS-Chatbot-Apps geben LLM-API-Schlüssel im Netzwerkverkehr preis. Angreifer können damit ohne Authentifizierung auf kostenpflichtige KI-Dienste zugreifen.
Sicherheitsforscher untersuchten 444 KI-Chatbot-Anwendungen für das iPhone und identifizierten 282 Apps, die kostenpflichtige KI-Zugriffe durch ihren Netzwerkverkehr exponieren. Das entspricht einem Anteil von knapp zwei Dritteln der getesteten Stichprobe.
Die Offenlegung erfolgt auf mehreren Wegen: Plaintext-API-Keys sind direkt im Netzwerkverkehr sichtbar, wiederverwendbare Token werden unverschlüsselt übertragen, oder Backend-Server akzeptieren Anfragen ohne jede Authentifizierung. Ein einfaches Abhören des Datenverkehrs enthüllt damit die Credentials.
Wer solche Schlüssel erfasst, kann KI-Anfragen unter dem Entwicklerkonto absetzen und verursacht so Kosten auf fremde Rechnung. Für CISOs bedeutet dies ein erhebliches Risiko bei der Evaluation und dem Deployment von mobilen KI-Anwendungen in Unternehmensumgebungen. API-Keys erfordern minimale Schutzmaßnahmen: Sichere Speicherung (z.B. durch Keychain-APIs auf iOS), niemals Hardcodierung, und server-seitige Authentifizierung statt direktem Client-Zugriff auf kostenpflichtige Dienste.
Quelle: thehackernews.com · Erschienen 30. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.