Problémás AI alkalmazás
A Cybernews cikke szerint az Appknox kiberbiztonsági kutatói súlyos biztonsági hiányosságokat tártak fel a Perplexity AI nevű, mesterséges intelligenciára épülő Android-alkalmazásban. A kutatás szerint az alkalmazás forráskódjában nyilvánosan elérhető, beágyazott API-kulcsokat tartalmaz, amelyek lehetőséget biztosíthatnak a támadók számára arra, hogy illetéktelenül hozzáférjenek a háttérrendszerekhez, adatokat szivárogtassanak ki, vagy teljes hozzáférést szerezzenek a felhasználói fiókokhoz. További komoly kockázatot jelent az is, hogy az alkalmazás úgynevezett wildcard eredetű API-konfigurációt használ, ami azt jelenti, hogy bármilyen weboldal képes lehet kérésküldésre a háttérrendszer felé. Ez megnyitja az utat a CSRF (Cross-Site Request Forgery) típusú támadások előtt, amelyek során egy felhasználó nevében hajtanak végre illetéktelen műveleteket.
Az alkalmazás nem alkalmaz SSL pinning védelmet sem, így közbeékelődéses támadások révén – például nyilvános Wi-Fi hálózaton keresztül – a támadó lehallgathatja a felhasználó adatforgalmát, ellophatja kereséseit, bejelentkezési adatait, és valós időben nyomon követheti az alkalmazás működését. Emellett a bytecode teljesen védelem nélkül maradt, ami lehetőséget ad a támadóknak arra, hogy visszafejtsék, tanulmányozzák, majd akár módosítsák az alkalmazást, és saját céljaikra – például adathalászatra vagy kártékony funkciók beépítésére – felhasználják. A Perplexity AI alkalmazásban nem található semmilyen olyan mechanizmus, amely megakadályozná a hibakereső eszközök vagy fejlesztői környezetek általi manipulációt, így az alkalmazás működése és belső logikája teljes mértékben feltárható egy hozzáértő támadó számára.
Subho Halder, az Appknox vezetője arra figyelmeztetett, hogy ezek a sebezhetőségek valós és súlyos kockázatot jelentenek, különösen egy olyan alkalmazás esetében, amely elvileg érzékeny kereséseket és felhasználói interakciókat kezel. Kiemelte, hogy ezek a hibák nem csupán technikai mulasztások, hanem komoly adatvédelmi fenyegetések is.
A cikk szerint az AI-alapú alkalmazások gyors térnyerése nem járhat együtt a biztonság háttérbe szorításával, és különösen fontos, hogy az ilyen eszközök megfelelő védelmi mechanizmusokkal rendelkezzenek.