Secondo quanto riferito, l’implementazione da parte di Google di un’architettura chiave API (Software Programming Interface) ha portato a un enorme rischio di esposizione a Gemini nelle app Android. Secondo la società di ricerca sulla sicurezza informatica CloudSEK, una particolare chiave API lato consumer, che in precedenza funzionava come identificatore, riceve privilegi di credenziale dopo che un’app Android integra l’API Gemini. Questo, nelle mani di un cattivo attore, può esporre i dati che gli utenti condividono con il chatbot. Inoltre, ciò può anche portare a malintenzionati che effettuano chiamate API Gemini non autorizzate, accumulando fatture enormi per lo sviluppatore.
Come una chiave API di Google attiva l’esposizione ai Gemelli
Nell’a articolo del blogCloudSEK ha spiegato come una chiave API (AIza…), ritenuta sicura da Google per essere aggiunta al codice base delle app Android, acquisisce improvvisamente privilegi di credenziale dopo che Gemini è stato integrato nell’app. Questa falla di sicurezza si basa sui risultati di Truffle Safety, che ha riscontrato una falla simile su un progetto Google Cloud.
BeVigil di CloudSEK, un motore di ricerca per la sicurezza delle app mobili, ha scansionato le 10.000 migliori app Android (in base al numero di installazioni) e ha trovato 32 chiavi API di Google reside codificate in 22 numerous app con oltre 500 milioni di installazioni complessivamente. Alcune di queste app sono Oyo Resort, Google Pay for Enterprise, Taobao, apna Job Search App, Elsa Communicate, HD Sticker & Pack WAStickersApps, The Hindu, ISS Stay Now e altre.
È interessante notare che il rapporto afferma che il formato della chiave API Alza… viene aggiunto all’app quando uno sviluppatore desidera incorporare Maps o Firebase, secondo le istruzioni della documentazione condivise da Google. Tuttavia, dopo aver abilitato l’API Generative Language, la chiave ottiene l’accesso a tutti gli endpoint Gemini senza alcun avviso o notifica. Pertanto, chiunque decompili l’app può facilmente accedere alla chiave e questa si comporta come una credenziale Gemini attiva.
Per gli utenti finali, ciò significa che tutti i dati condivisi con Gemini, come documenti, immagini o audio, e archiviati nell’API Recordsdata, possono essere accessibili dall’utente malintenzionato. Inoltre, tutte le informazioni sensibili nel contesto AI memorizzato nella cache possono essere lette, copiate o esfiltrate da chi ottiene l’accesso non autorizzato.
Anche gli sviluppatori e gli editori affrontano rischi significativi. L’integrazione dell’API Gemini non è gratuita. Gli sviluppatori pagano per qualsiasi utilizzo. Quindi, se il malintenzionato finisce per fare un utilizzo non autorizzato, può accumulare conti ingenti. Inoltre, ciò comporta anche un onere normativo per le aziende nel caso in cui i dati degli utenti vengano compromessi.
CloudSEK consiglia agli sviluppatori e alle aziende di rivedere tutte le chiavi API in un progetto GCP, ruotare qualsiasi chiave incorporata in un’app cell, limitare le chiavi in base al servizio e non codificare alcuna chiave API nel codice sorgente dell’app cell. Sebbene gli utenti finali non possano fare molto, dovrebbero fare attenzione all’utilizzo dei servizi Gemini in un’app Android. Se non si fidano dell’app, dovrebbero limitare la loro interazione con Gemini all’app e alle piattaforme ufficiali.
