Специалисты Cybernews проанализировал 1,8 млн приложений для Android и обнаружили, что большинство приложений с искусственным интеллектом в среднем раскрывают пять видов конфиденциальных технических данных, которые авторы называют секретами. 

Авторы выявили в Google Play 38 630 приложений с использованием ИИ и изучили их внутренний код на предмет утечки учетных данных и ссылок на облачные сервисы. Исследователи загрузили каждое приложение, затем декомпилировали и просканировали его с помощью специально разработанного скрипта для обнаружения жестко закодированных секретов и конечных точек сервисов.  

72% проанализированных приложений с использованием ИИ содержали как минимум один жестко закодированный секрет, встроенный непосредственно в код приложения. В среднем, как уже было сказано, речь шла о пяти. 

Более 81% всех обнаруженных секретов были связаны с инфраструктурой Google Cloud, включая идентификаторы проектов, ключи API, базы данных Firebase и хранилища данных. В ходе исследования также было выявлено 285 баз данных Firebase, в которых полностью отсутствовали средства аутентификации, что в совокупности привело к утечке как минимум 1,1 ГБ пользовательских данных. В совокупности же в результате утечек в Firebase и Google Cloud Storage были раскрыты более 200 млн файлов, что составляет почти 730 ТБ пользовательских данных. 

Проблема усугубляется тем, что такие секреты не просто могут быть использованы злоумышленниками, а уже используются. Авторы говорят, что сотни приложений из всех проанализированных уже были взломаны с помощью автоматизированных эксплойтов.