Pertlexity AI, een bedrijf dat zijn AI-zoekassistent snel uitbreidt naar Android-smartphones via deals met grote fabrikanten, wordt geconfronteerd met serieuze vragen over de beveiliging van de applicatie. Een audit gepubliceerd door het mobiele beveiligingsbedrijf Appknox concludeerde dat de Android-app van Pertlexity, die naar verluidt meer dan 10 miljoen downloads op Google Play heeft, vol zit met ernstige kwetsbaarheden die gebruikers blootstellen aan aanzienlijke risico’s, inclusief gegevensdiefstal en het compromissen van de bevindingen.
Fundamental Protections Appear Lacking
The Appknox report detailed a concerning list of security failures. Onderzoekers ontdekten hardcode geheimen, zoals API-toetsen, direct ingebed in de code van de app. This oversight could allow attackers who decompile the application to potentially extract these keys and gain unauthorized access to backend services.
The audit also identified improper Cross-Origin Resource Sharing (CORS) Configuraties met behulp van jokertekens (`*`) in API-reacties. CORS is een browserbeveiligingsfunctie die webpagina’s beperkt om verzoeken te doen aan een ander domein dan degene die de pagina heeft gediend; Het gebruik van een jokerteken schakelt deze bescherming effectief uit voor de API van Perflexity, waardoor kwaadaardige websites mogelijk niet-geautoriseerde verzoeken kunnen doen en gebruikersgegevens extraheren.
Bovendien maakt het gebrek aan SSL-pinning-een techniek waar een bekende kopie is, waar een bekende kopie is-de app voor een bekende kopie (MITM), waar een bekende kopie van de app en zijn certificaat tegen een bekende kopie van de app en zijn certificaat tegen een bekende kopie van een bekende kopie van een bekende kopie (MITM). Servers kunnen worden onderschept.
De analyse van Appknox ging verder, het vinden van de bytecode van de applicatie is niet obfusced, waardoor aanvallers worden vereenvoudigd voor aanvallers om de logica van de app te ontdekken en extra zwakke punten te ontdekken. het manipuleren van het gedrag van de app in gecontroleerde of gecompromitteerde omgevingen. AppKnox verklaarde dat deze problemen de app gezamenlijk onveilig maken en gebruikers adviseren om het voorlopig te verwijderen.
Deepseek Vergelijking benadrukt terugkerende problemen
Het beveiligingsbedrijf trok directe parallels naar Een eerder onderzoek naar de Deepseek AI-applicatie , waarin staat dat de app van Perplexity alle fabs heeft gevonden. Volgens AppKnox zijn er categorieën opgenomen zoals ongedekte netwerkconfiguraties, gebrek aan SSL-validatie of certificaat pinnen, zwakke rootdetectie, gevoeligheid voor het tapjacking van aanvallen (waarbij gebruikers worden geklikt om iets onbedoeld te klikken), blootstelling aan de Strandhogg-kwetsbaarheid (toestaan UI-kajacking) en de Janus-vulling (toestemming van de maliciaat-app-updates). Het testen van hoogtepunten kritieke kwetsbaarheden in perplexiteit AI die gebruikers blootstellen aan een verscheidenheid aan risico’s, waaronder gegevensdiefstal, reverse engineering en exploitatie,”Appknox CEO en mede-oprichter subho halder Hij voegde eraan toe:”Het is cruciaal voor de ontwikkelaars om deze problemen snel aan te pakken. In de tussentijd moeten gebruikers voorzichtig zijn met het gebruik van de app, met name voor gevoelige activiteiten.”
uitbreiding van de uitbreiding van beveiliging
Deze openbaringen komen aan op een moment van hoog momentum voor persplexiteit. Het bedrijf is recentelijk een deal afgerond met Samsunging met Samsunging met Samsunging To Integreer zijn AI-assistent, gelanceerd voor Android in januari, rechtstreeks op Galaxy-apparaten als alternatief voor Google Gemini.
Deze strategie heeft als doel de multimodale assistent van Perflexity te plaatsen-waarmee tekst-, spraak-en camera-interactie mogelijk is-direct voor miljoenen gebruikers via zijn Hoofd Android-app . De Samsung-gesprekken gaan door, ondanks het diepe bestaande partnerschap van Samsung met Google op AI-functies, hoewel Samsung’s Venture Arm, SAMSUNG VOLGENDE VOLGENDE INTERZICHTENDE VERDERE INVESTERING. > Een patroon van vragen temidden van groei
Deze drang naar apparaatintegratie wordt ondersteund door aanzienlijke financiële activiteit, met perplexiteit naar verluidt Dedicated beveiligingspagina Beleid zoals gegevensscheiding, toegangscontroles via AWS IAM en gebruik van tools zoals CloudFlare en Wiz, suggereren de AppKnox-bevindingen potentiële hiaten tussen de vastgestelde infrastructuurbeveiliging en de praktische beveiligingsimplementatie binnen de Android-applicatie zelf.
