Η αμηχανία AI, μια εταιρεία που επεκτείνει γρήγορα τον βοηθό αναζήτησης της AI σε smartphones Android μέσω συμφωνιών με μεγάλους κατασκευαστές, αντιμετωπίζει σοβαρές ερωτήσεις σχετικά με την ασφάλεια της εφαρμογής της. Ένας έλεγχος που δημοσιεύθηκε από την εταιρεία κινητής τηλεφωνίας AppKnox κατέληξε στο συμπέρασμα ότι η εφαρμογή Android της Perplexity, η οποία φέρεται να υπερηφανεύεται για πάνω από 10 εκατομμύρια λήψεις στο Google Play, είναι γεμάτο με σοβαρές ευπάθειες που εκθέτουν τους χρήστες σε σημαντικούς κινδύνους, συμπεριλαμβανομένης της κλοπής δεδομένων και του συμβιβασμού λογαριασμού.
Οι θεμελιώδεις προστασίες φαίνεται να λείπουν
Το appknox αναφορά Οι ερευνητές βρήκαν σκληρά κωδικοποιημένα μυστικά, όπως κλειδιά API, ενσωματωμένα απευθείας στον κώδικα της εφαρμογής. Αυτή η επίβλεψη θα μπορούσε να επιτρέψει στους επιτιθέμενους που αποσυμπιέσει την εφαρμογή για να εξαγάγουν αυτά τα κλειδιά και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε υπηρεσίες backend. (CORS) Διαμορφώσεις χρησιμοποιώντας ρίζες μπαλαντέρ (`*`) σε απαντήσεις API. Το CORS είναι ένα χαρακτηριστικό ασφάλειας του προγράμματος περιήγησης που περιορίζει τις ιστοσελίδες από την υποβολή αιτήσεων σε διαφορετικό τομέα από αυτό που εξυπηρετούσε τη σελίδα. Η χρήση ενός μπαλαντέρ, απενεργοποιεί αποτελεσματικά αυτήν την προστασία για το API της Perplexity, επιτρέποντας ενδεχομένως τις κακόβουλες ιστοσελίδες να κάνουν μη εξουσιοδοτημένα αιτήματα και να εξαγάγουν δεδομένα χρήστη. Θα μπορούσε να παρεμποδιστεί.
Η ανάλυση του Appknox προχώρησε περαιτέρω, η εύρεση του bytecode της εφαρμογής δεν παραβιάζεται, απλοποιώντας τη διαδικασία για τους επιτιθέμενους να αντιστρέψουν τις ενεργές επιλογές της εφαρμογής και να ανακαλύψουν επιπλέον αδυναμίες. χειρισμό της συμπεριφοράς της εφαρμογής σε ελεγχόμενα ή συμβιβασμένα περιβάλλοντα. Η AppKnox δήλωσε ότι αυτά τα ζητήματα καθιστούν συλλογικά την εφαρμογή μη ασφαλή, συμβουλεύοντας τους χρήστες να απεγκαταστήσουν την προς το παρόν. href=”https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-deepseek”target=”_ blank”> Οι εφαρμογές, σύμφωνα με το AppKnox, περιελάμβαναν κατηγορίες όπως οι μη εξασφαλισμένες διαμορφώσεις δικτύου, η έλλειψη επικύρωσης SSL ή το πιστοποιητικό, η αδύναμη ανίχνευση ρίζας, η ευαισθησία σε επιθέσεις (όπου οι χρήστες είναι εξαπατημένοι στο να κάνουν κλικ σε κάτι ακούσιο).
“Οι δοκιμές μας επισημαίνουν τις κρίσιμες ευπάθειες στην αμηχανία AI που εκθέτουν τους χρήστες σε διάφορους κινδύνους, συμπεριλαμβανομένης της κλοπής δεδομένων, της αντίστροφης μηχανικής και της εκμετάλλευσης,”CEO AppKnox”και του συνιδρυτή main app app . Οι συνομιλίες της Samsung προχωρούν παρά την βαθιά υπάρχουσα συνεργασία της Samsung με την Google για τα χαρακτηριστικά του AI, αν και
Ένα πρότυπο ερωτήσεων εν μέσω ανάπτυξης
Αυτή η ώθηση για ενσωμάτωση συσκευών υποστηρίζεται από σημαντική οικονομική δραστηριότητα, με την αμηχανία σύμφωνα με πληροφορίες Weatching $ 500 εκατομμύρια για το $ 1 Στρογγυλή στόχευση αποτίμησης 18 δισεκατομμυρίων δολαρίων , υποστηριζόμενη από ένα ετήσιο επαναλαμβανόμενο έσοδα ύψους 100 εκατομμυρίων δολαρίων. Αυτός ο χειρισμός δυνητικά ευαίσθητων πληροφοριών πληρωμής και αποστολής προσθέτει ένα άλλο επίπεδο ανησυχίας σχετικά με το Ίδρυμα Ασφαλείας της εφαρμογής.
Ο έλεγχος AppKnox δεν είναι η πρώτη φορά που η αμηχανία έχει αντιμετωπίσει έλεγχο στις πρακτικές του. Η Forbes και η Wired κατηγόρησαν την εταιρεία για την επιθετική αποξήρανση του περιεχομένου ιστού για τις περιλήψεις του AI, φέρεται να αγνοεί τις οδηγίες εκδόσεων (robots.txt) και την κατάλληλη απόδοση, οδηγώντας τις υπηρεσίες του Amazon Web να διερευνήσουν πιθανές παραβιάσεις των υπηρεσιών.
Νωρίτερα, τον Ιανουάριο, ο Διευθύνων Σύμβουλος Aravind Srinivas αντιμετώπισε ανησυχίες για την προστασία της ιδιωτικής ζωής σχετικά με τη χρήση του μοντέλου Deepseek που αναπτύχθηκε από την κινεζική, εξασφαλίζοντας στους χρήστες ότι το Purplexity το φιλοξένησε στους διακομιστές μας/EU και δηλώνει ότι”κανένα από τα δεδομένα σας δεν πηγαίνει στην Κίνα”. Σελίδα ασφαλείας Περιγράφοντας πολιτικές όπως ο διαχωρισμός δεδομένων, οι έλεγχοι πρόσβασης μέσω του AWS IAM και η χρήση εργαλείων όπως το CloudFlare και το Wiz, τα ευρήματα AppKnox υποδηλώνουν πιθανά κενά μεταξύ της δηλωμένης ασφάλειας υποδομών και της πρακτικής εφαρμογής ασφαλείας στο ίδιο το Android Application.
