730 ТБ утекло в открытом коде: как AI-приложения рисуют карту хакеров
Жесткое хардкодирование секретов в 1,8 млн Android-приложений открыло незаметный, но масштабный канал утечек — 730 ТБ данных, включая финансовую информацию. Системный характер проблемы подтверждается аналогичными уязвимостями в App Store: 70% приложений содержат «секреты» в коде, что ставит под угрозу не только пользователей, но и всю модель доверия к цифровым сервисам.
По данным PCWorld, исследование, проведенное специалистами компании Cybernews, выявило серьезные уязвимости в безопасности мобильных приложений. В ходе анализа было установлено, что более 1 млн Android-приложений содержат в своем коде уязвимости, через которые может утекать конфиденциальная информация пользователей. Всего, согласно оценке, объем утечек составил 730 ТБ данных, включая финансовую информацию, которая может быть использована злоумышленниками для неправомерного изъятия средств.
Слабые места в коде
Одной из основных причин утечек стало применение несекурного метода кодирования — hardcoding, при котором чувствительные данные, такие как API-ключи и пароли, жестко встраиваются в исходный код приложений. В исследовании отмечается, что 72% из проанализированных AI-приложений содержали в своем коде, как минимум, один такой «секрет». При этом 81% этих уязвимостей были связаны с проектами Google Cloud, что позволяло сторонним лицам получить несанкционированный доступ к сервисам Google.
Эксперты указывают, что подобная практика особенно характерна для новых приложений, которые создаются в условиях высокой конкуренции и спешно публикуются в Google Play Store без должной проверки на безопасность. В рамках исследования было изучено 1,8 млн Android-приложений, что позволило оценить масштаб проблемы.
Риски для пользователей
Утечка данных представляет особую угрозу для пользователей, если приложения работают с финансовыми, аналитическими или клиентскими данными. Например, злоумышленники могут использовать украденные API-ключи для совершения действий от имени пользователей, манипуляции с их аккаунтами или подделки истории транзакций.
Стоит отметить, что утечки не затронули крупные сервисы, такие как ChatGPT, поскольку их API-интерфейсы не используют метод hardcoding. Однако большинство остальных приложений, особенно в категории AI, продолжают оставаться уязвимыми. Риск возрастает, когда приложения требуют предоставления личной или финансовой информации, а пользователи не могут оценить степень защищенности кода.
Проблема не ограничивается Android
Исследователи также отметили, что проблема утечек не ограничивается Android-приложениями. Анализ 156 тыс. приложений из App Store показал, что около 70% из них также содержали жестко встроенные секреты. Это свидетельствует о системном характере проблемы, выходящем за рамки одной платформы.
Для минимизации рисков эксперты рекомендуют пользователям проявлять осторожность при установке новых приложений, особенно тех, что запрашивают доступ к конфиденциальной информации.
Важно учитывать, что даже после выявления уязвимостей разработчики не всегда вовремя вносят исправления, оставляя приложения уязвимыми для атак.
Когда безопасность уходит в код: глобальные угрозы и системные решения
Скрытые мотивы разработчиков и их последствия
В условиях высокой конкуренции разработчики мобильных приложений часто приоритетом ставят скорость выхода продукта на рынок, что приводит к снижению внимания к вопросам безопасности. Один из самых распространённых примеров — это практика hardcoding, когда API-ключи, пароли и другие чувствительные данные жёстко встраиваются в код приложений. В исследовании Cybernews было установлено, что 72% AI-приложений содержат в своём коде такие «секреты», а 81% из них связаны с проектами Google Cloud [!]. Это указывает на системную проблему, выходящую за рамки одного разработчика.
Такие практики не только увеличивают уязвимости, но и создают риски для бизнеса. Например, в 2025 году было зафиксировано 16 млрд утекших учетных записей, включая данные для сервисов, таких как Apple, Google, Facebook⋆, GitHub, Telegram и государственных платформ [!]. Это подтверждает масштаб проблемы и демонстрирует, что утечки данных — это не изолированный инцидент, а системное явление, которое затрагивает миллионы пользователей.
Эффект домино: кто выигрывает, а кто теряет
Масштабные утечки данных, особенно в размере 730 ТБ, как указано в исследовании Cybernews, неизбежно влияют на бизнес. Например, финансовые институты, интегрирующие сторонние приложения, рискуют потерять доверие клиентов. Если пользователь узнаёт, что его данные утекли через приложение, он может перестать использовать связанные с ним сервисы. Это, в свою очередь, приводит к снижению лояльности и потенциальным финансовым потерям.
С другой стороны, утечки данных создают новые возможности для компаний, специализирующихся на кибербезопасности. Рост осведомлённости о рисках способствует увеличению спроса на аудиты, тестирование на проникновение и инструменты анализа уязвимостей. Это открывает рынок для стартапов и ИТ-специалистов, которые могут предложить решения для защиты приложений.
Например, Microsoft начала сканировать расширения VS Code на наличие утечек секретов, включая GCP-ключи, и блокировать уязвимые версии [!]. Такие меры демонстрируют, как крупные игроки могут реагировать на системные риски.
Важно отметить, что проблема не ограничивается Android-приложениями. Анализ 156 тыс. приложений из App Store показал, что около 70% из них также содержали жестко встроенные секреты. Это свидетельствует о том, что риски распространены и не зависят от одной платформы. Даже в профессиональных инструментах, таких как VS Code, были выявлены утечки, что указывает на необходимость пересмотра подходов к разработке и тестированию кода [!].
Что делать: уроки для бизнеса
Для российских компаний, использующих мобильные приложения как часть своей стратегии, этот случай — сигнал к действию. В первую очередь, стоит пересмотреть подход к разработке и тестированию приложений. Ускорение запуска продукта не должно идти в ущерб безопасности. Важно внедрить практики автоматического тестирования на уязвимости и регулярного аудита кода. Это особенно актуально в условиях, когда 96% разработчиков сталкиваются с проблемами проверки сгенерированного кода, особенно при использовании ИИ-инструментов [!].
Для пользователей, особенно тех, кто работает с финансовыми или личными данными, стоит быть внимательным при выборе приложений. Не стоит устанавливать приложения, которые запрашивают необоснованно много прав. Важно проверять репутацию разработчика и оценивать, насколько серьёзно он относится к безопасности. Например, Google усилила контроль за приложениями вне Google Play Store, введя новую систему верификации разработчиков, чтобы предотвратить распространение вредоносных программ [!].
Кроме того, важно учитывать, что утечки данных могут затрагивать не только финансовые, но и личные данные. Например, анализ 272 медицинских приложений на Android выявил массовые уязвимости, включая слабое шифрование и скрытые каналы передачи данных [!]. Это подчеркивает, что угрозы могут быть не только экономического, но и этического характера.
Центральная идея: безопасность как стратегический элемент
Утечки данных в мобильных приложениях — это системная проблема, обусловленная скоростью разработки, недостаточной проверкой кода и использованием небезопасных практик, таких как hardcoding. Эта проблема затрагивает не только пользователей, но и бизнесы, а также государственные структуры. Утечки данных в масштабе 16 млрд учетных записей и 730 ТБ информации демонстрируют, что риски не ограничиваются отдельными инцидентами, а представляют собой глобальную угрозу [!].
Для минимизации рисков ключевым становится внедрение автоматизированных инструментов тестирования, регулярного аудита кода и строгого контроля за доступом к чувствительной информации. Пользователи, в свою очередь, должны быть более внимательны при выборе приложений и оценивать репутацию разработчика. Только так можно минимизировать риски и сохранить доверие клиентов.
Источник: pcworld.com
