أخبارنا المغربية - وكالات
كشف تحقيق أمني واسع النطاق عن تعرض عدد كبير من تطبيقات أندرويد المتاحة على متجر Google Play لثغرات خطيرة قد تؤدي إلى تسريب بيانات حساسة وأسرار تقنية. وركّز التحقيق على التطبيقات التي تدّعي امتلاك ميزات ذكاء اصطناعي، حيث تبين وجود مشكلات بنيوية في إدارة البيانات تتجاوز أخطاء المطورين الفردية.
وأفاد باحثو Cybernews بأنهم قاموا بتحليل نحو 1.8 مليون تطبيق أندرويد، وحددوا ما يقارب 38,630 تطبيقًا يعتمد على خصائص الذكاء الاصطناعي. وأظهرت النتائج أن حوالي 72 في المئة من التطبيقات التي شملها التحليل تحتوي على “أسرار” مدمجة مباشرة داخل الشيفرة البرمجية، بمعدل تسريب بلغ 5.1 أسرار لكل تطبيق متأثر.
وبحسب التقرير، تم رصد 197,092 سرًا فريدًا، ما يعكس استمرار ممارسات الترميز غير الآمنة رغم التحذيرات المتكررة. وأشار الباحثون إلى أن أكثر من 81 في المئة من هذه الأسرار كانت مرتبطة ببنية Google Cloud السحابية، بما في ذلك مفاتيح API، ومعرفات المشاريع، وقواعد بيانات Firebase، وأحواض التخزين.
كما كشف التحقيق عن وجود 26,424 نقطة نهاية لخدمات Google Cloud مدمجة داخل الأكواد البرمجية، حيث تبيّن أن نحو ثلثيها يعود لبنية تحتية لم تعد نشطة. ومن بين النقاط المتبقية، كانت 8,545 من أحواض التخزين لا تزال فعّالة وتتطلب مصادقة، في حين وُجدت مئات أخرى مفتوحة للعامة أو مضبوطة بشكل خاطئ، ما قد يعرّض أكثر من 200 مليون ملف، بإجمالي يقارب 730 تيرابايت من بيانات المستخدمين، لخطر الوصول غير المصرح به.
وفي جانب آخر، رصد الباحثون 285 قاعدة بيانات Firebase غير محمية بأي آليات مصادقة، تسرب منها ما لا يقل عن 1.1 جيجابايت من بيانات المستخدمين. وأظهرت التحليلات أن 42 في المئة من هذه القواعد احتوت جداول تشير إلى “نماذج اختبارية” أو آثار اختراق سابق، في حين ضمت قواعد أخرى حسابات إدارية مرتبطة بعناوين بريد إلكتروني بأسلوب المهاجمين، ما يدل على أن الاستغلال كان فعليًا وليس نظريًا فقط.
وعلى صعيد مفاتيح الذكاء الاصطناعي، أوضح التقرير أن مفاتيح واجهات برمجة التطبيقات الخاصة بالنماذج اللغوية الكبيرة ظهرت بشكل محدود، وشملت بعض الخدمات التابعة لـ OpenAI وGoogle Gemini وClaude. ورغم أن هذه المفاتيح لا تمنح عادة وصولًا إلى المحادثات السابقة أو البيانات المخزنة، فإنها قد تُستخدم لتنفيذ طلبات جديدة بشكل غير مصرح به.
في المقابل، اعتُبرت أخطر الثغرات تلك المرتبطة بالبنية التحتية للدفع الإلكتروني، حيث تم رصد تسريبات لمفاتيح Stripe، والتي قد تمنح المهاجمين سيطرة كاملة على أنظمة الدفع. كما سمحت بيانات اعتماد أخرى بالوصول إلى منصات التحليلات والاتصال وبيانات العملاء، ما يفتح الباب أمام انتحال هوية التطبيقات أو استخراج معلومات حساسة دون إذن.
ويخلص التقرير إلى أن هذه النتائج تسلط الضوء على تحديات أمنية متزايدة في منظومة تطبيقات الذكاء الاصطناعي على الهواتف الذكية، وتؤكد الحاجة إلى تشديد معايير المراجعة الأمنية من قبل المتاجر الرقمية، إضافة إلى التزام المطورين بتطبيق ممارسات ترميز آمنة لحماية بيانات المستخدمين.
_1770125026.webp)
