Kokkuvõte: 282 iOS AI-rakendust panevad API-võtmeid ja taustasüsteemi mandaate avalikult võrku, võimaldades maksuliste teenuste kuritarvitamist teiste kontodel.
Üle kahe kolmandiku 444-st uuritud iOS-chatbot-rakendusest paljastab LLM API-võtmeid võrguliikluses. Ründajad saavad sellega ilma autentimiseta juurde pääseda maksuliste AI-teenustele.
Turvalisuse uurijad uurisid 444 AI-chatbot-rakendust iPhone’i jaoks ja tuvastasid 282 rakendust, mis panevad maksulisi AI-juurdepääse oma võrguliikluse kaudu avalikult nähtavaks. See vastab ligikaudu kahele kolmandikule testitud valimist.
Paljastamine toimub mitmel viisil: selge tekstiga API-võtmed on võrguliikluses otse nähtavad, taaskasutatavaid märke edastatakse šifreeritud kujul, või taustasüsteemi serverid aktsepteerivad päringuid ilma igasuguse autentimiseta. Lihtne andmeliigu kuulamise teel saab mandaadid teada.
Keegi, kes sellised võtmed kätte saab, saab esitada AI-päringuid arendaja konto alt ja tekitab kulusid teise arvel. CISO-dele tähendab see olulist riski mobiilsete AI-rakenduste hindamisel ja juurutamisel ettevõtte keskkondades. API-võtmeid nõutakse minimaalsete kaitsemeetmete jaoks: turvaline salvestamine (nt Keychain API abil iOS-is), kunagi mitte hardkodeerimist, ja serveri poolne autentimine maksuliste teenuste otsese kliendi juurdepääsu asemel.
Allikas: thehackernews.com · Avaldatud 30. juuni 2026
Lumi AI News — tehisintellekti abil koostatud kuratuurimine vastavalt EU AI Akti artiklile 50. Parafraasimine ja klassifikatsioon Lumi News Pipeline v1.7.2 abil.