Tüm alanlarda olduğu gibi, Android dünyasında da yapay zeka rüzgarları sert esiyor. Ama madalyonun öteki yüzü korkutucu bir tablo çiziyor. Google Play Store'da yer alan ve yapay zeka özelliklerine sahip olduğunu iddia eden yaklaşık 40 bin uygulama üzerinde yapılan devasa bir güvenlik araştırması, milyonlarca kullanıcının verisinin aslında ne kadar büyük bir risk altında olduğunu kanıtladı.
Uzmanlar, toplamda 1,8 milyon uygulamayı tarayarak başladıkları bu süreçte, geliştirici hatalarının basit birer dikkatsizlikten öte, sistemli bir güvenlik zafiyetine dönüştüğünü gözler önüne seriyor.
Araştırma sonuçlarına göre, incelenen yapay zeka uygulamalarının yüzde 72 gibi çarpıcı bir miktarı, kodlarının içinde en az bir adet kodlanmış sır barındırıyor. Yazılımcıların uygulama koduna doğrudan gömdüğü bu kimlik bilgisi, API anahtarları ve bulut hizmeti referansları, kötü niyetli kişilerin eline geçtiğinde birer anahtara dönüşüyor. Üstelik bu uygulamaların her biri ortalama beş adet gizli veriyi sızdırıyor. Bu durum, yıllardır yapılan uyarılara rağmen güvensiz kodlama alışkanlıklarının hala ne kadar yaygın olduğunu ve dijital dünyanın kapılarının aslında ne kadar aralık bırakıldığını gösteriyor.
Bulut altyapıları ve açık kalan veri kapıları
Tespit edilen gizli bilgilerin yüzde 81 gibi büyük bir kısmı Google Cloud altyapısıyla ilgili verilerden oluşuyor. Bu veriler arasında proje kimlikleri, Firebase veritabanları ve depolama alanlarına ait kritik anahtarlar var. Araştırmacılar, bu açıklar sayesinde erişilebilir durumdaki yüzlerce yanlış yapılandırılmış veri tabanını ve depolama birimini belirledi. Bu zafiyetin boyutu ise dudak uçuklatacak cinsten: Yaklaşık 200 milyon dosya ve toplamda 730 terabaytı bulan kullanıcı verisi, hiçbir koruma olmaksızın internete saçılmış durumda bekliyor.
Asıl ürkütücü olan ise bu durumun sadece teorik bir riskten ibaret kalmaması. Kimlik doğrulama kontrolü bulunmayan yüzlerce Firebase veri tabanını inceleyen uzmanlar, buralarda saldırganlar tarafından oluşturulmuş "test masaları" ve yönetici hesapları buldu. Bu durum, sistemlerin çoktan ele geçirildiğini ve saldırganların içeride cirit attığını kanıtlıyor. Bazı veri tabanlarında saldırganlara ait e-posta adresleriyle açılmış yetkili hesapların bulunması, durumun vahametini bir kat daha artırıyor. İlginç bir şekilde, OpenAI veya Gemini gibi büyük yapay zeka modellerine ait anahtarların sızma oranı düşük kalsa da, Stripe gibi ödeme sistemlerine ait gizli anahtarların kodlarda bulunması, saldırganların doğrudan finansal sistemlere erişim sağlayabileceği anlamına geliyor.
Bu tarz derin yapısal hatalar, standart bir antivirüs yazılımı veya güvenlik duvarıyla engellenemiyor. Uygulama mağazalarındaki denetimlerin de tek başına yeterli olmadığı bu tabloda, sorumluluğun büyük bir kısmı geliştiricilere düşüyor.