Süni intellekt tətbiqlərində gizli təhlükə: İstifadəçilərin məlumatı internetə sızdı

Android ekosistemində süni intellekt dalğası sürətlə yayılır. Lakin bu inkişafın arxa tərəfində ciddi təhlükəsizlik problemləri üzə çıxıb. 

Valyuta.az xəbər verir ki, “Google Play Store”da süni intellekt funksiyalarına malik olduğunu iddia edən təxminən 40 min tətbiq üzərində aparılan genişmiqyaslı təhlükəsizlik araşdırması milyonlarla istifadəçinin məlumatlarının real risk altında olduğunu göstərib.

Mütəxəssislər ümumilikdə 1,8 milyon tətbiqi analiz etdikdən sonra müəyyən ediblər ki, tərtibatçı səhvləri sadə diqqətsizlikdən daha çox, sistemli təhlükəsizlik boşluqlarına çevrilib.

Araşdırmanın nəticələrinə görə, yoxlanılan süni intellekt tətbiqlərinin 72 faizi kodun daxilində ən azı bir “kodlaşdırılmış sirr” saxlayır. Proqramçıların birbaşa tətbiq koduna yerləşdirdiyi bu giriş məlumatları, API açarları və bulud xidmətlərinə aid istinadlar üçüncü şəxslərin əlinə keçdikdə faktiki olaraq açara çevrilir. Üstəlik, hər bir tətbiq orta hesabla beş məxfi məlumatı sızdırır. Bu fakt, uzun illərdir edilən xəbərdarlıqlara baxmayaraq, etibarsız kodlama vərdişlərinin hələ də geniş yayıldığını göstərir.

Aşkarlanan məxfi məlumatların 81 faizi “Google Cloud” infrastrukturu ilə bağlıdır. Buraya layihə identifikatorları, “Firebase” verilənlər bazaları və saxlama məkanlarına aid kritik açarlar daxildir. Tədqiqatçılar bu boşluqlar vasitəsilə yüzlərlə səhv konfiqurasiya edilmiş verilənlər bazasına və saxlama vahidinə sərbəst çıxışın mümkün olduğunu müəyyən ediblər.

Təhlükənin miqyası xüsusilə diqqət çəkir: təxminən 200 milyon fayl və ümumilikdə 730 terabayt həcmində istifadəçi məlumatı heç bir mühafizə olmadan internetdə açıq vəziyyətdə qalıb.

Daha narahatedici məqam isə bunun yalnız nəzəri risk olmamasıdır. Kimlik doğrulaması olmayan yüzlərlə “Firebase” verilənlər bazasını araşdıran mütəxəssislər burada hücumçular tərəfindən yaradılmış “test masaları”na və inzibatçı hesablarına rast gəliblər. Bu isə sistemlərin artıq ələ keçirildiyini göstərir. Bəzi verilənlər bazalarında hücumçulara aid elektron poçt ünvanları ilə açılmış səlahiyyətli hesabların tapılması vəziyyətin ciddiliyini daha da artırır.

Maraqlıdır ki, “OpenAI” və ya “Gemini” kimi iri süni intellekt modellərinə aid açarların sızma səviyyəsi nisbətən aşağıdır. Lakin “Stripe” kimi ödəniş sistemlərinə aid gizli açarların tətbiq kodlarında yer alması hücumçuların birbaşa maliyyə sistemlərinə çıxış əldə edə bilməsi riskini yaradır.

Mütəxəssislər bildirirlər ki, bu cür dərin struktur problemləri adi antivirus proqramları və ya təhlükəsizlik divarları ilə aradan qaldırmaq mümkün deyil. Tətbiq mağazalarındakı yoxlamaların da təkbaşına yetərli olmadığı bu şəraitdə əsas məsuliyyət tərtibatçıların üzərinə düşür.

Paşa Məmmədli