Audyt bezpieczeństwa mówi, że aplikacja Androida zakłopotania jest niebezpieczna, cytuje krytyczne wady

Kuty AI, firma szybko rozszerzająca asystenta wyszukiwania sztucznej inteligencji na smartfony z Androidem za pośrednictwem umów z głównymi producentami, stoi w obliczu poważnych pytań na temat bezpieczeństwa aplikacji. Kontrola opublikowana przez firmę mobilną AppkNox doszła do wniosku, że aplikacja Androida Pressionity, która podobno może pochwalić się ponad 10 milionami pobrań w Google Play, jest pełna poważnych luk, które narażają użytkowników na znaczące ryzyko, w tym kradzież danych i kompromis.

Ustalenia rzucają cień na jednoczesne popychanie firmy na urządzenie ECOSYSYMS i jego zasadnicze działanie kapitalne.

Wygląda na to, że fundamentalne zabezpieczenia brakuje

raport AppkkNox opisywana lista zabezpieczeń. Naukowcy znaleźli skodowane tajemnice, takie jak klucze API, osadzone bezpośrednio w kodzie aplikacji. Ten nadzór może pozwolić atakującym, którzy dekompilują aplikację potencjalnie wyodrębnić te klucze i uzyskać nieautoryzowany dostęp do usług backend.

identyfikowana również cross-origins soborce sobory. (CORS) Konfiguracje przy użyciu początków WildCard (`*`) w odpowiedziach API. CORS to funkcja bezpieczeństwa przeglądarki, która ogranicza strony internetowe składania żądań do innej domeny niż ta, która służyła stronie; Korzystanie z dzikiej karty skutecznie wyłącza tę ochronę dla API zakłopotania, potencjalnie umożliwiając złośliwym stronom internetowym na składanie nieautoryzowanych żądań i wyodrębnienie danych użytkownika.

Ponadto brak aplikacji na temat MAN-MIDDLE (MITM). Można go przechwycić. Analiza

Analiza Appknoxa poszła dalej, stwierdzenie, że kod bajdów aplikacji nie jest zaciemniony, upraszczając proces atakujących w celu odwrócenia inżynierii logiki aplikacji i odkrywania dodatkowych słabości.

Raport zauważył również brak czeków dla wspólnych narzędzi do debugowania, takiego jak mostek debiutowy Android (Adb) lub aktywne deweloperze, potencjalnie zezwalając na czynniki potężne. Manipulowanie zachowaniem aplikacji w kontrolowanych lub narażonych środowiskach. Appkknox stwierdził, że te problemy wspólnie sprawiają, że aplikacja jest niebezpieczna, doradzając użytkownikom, aby na razie ją odinstalowali.

Porównanie Deepseek podkreśla powtarzające się problemy

Firma ochroniarska narysowała bezpośrednie paralele do Poprzednie badanie w sprawie problemów z deepseek ai , stwierdzając, że aplikacja zakłopotania wykazywała wszystkie wady tam znalezione tam, a także pięć dodatkowych krytycznych zabezpieczeń krytycznych. Appkknox, zawarte kategorie, takie jak niezabezpieczone konfiguracje sieciowe, brak sprawdzania poprawności SSL lub przypięcie certyfikatu, słabe wykrywanie korzeni, podatność na atakowanie ataków (w których użytkownicy są oszukani w kliknięciu czegoś niezamierzonego), narażenie na podatność na podatność Strandhogg (umożliwiając UI porywanie) oraz wrażliwość Janusa (umożliwiając złośliwe kod do instytucji aplikacji). Podkreśla krytyczne luki w zakłopotaniu AI, które narażają użytkowników na różne ryzyko, w tym kradzież danych, inżynierię odwrotną i wyzysku, „CEO Appknox i współzałożyciel

Rozszerzenie spełnia obawy bezpieczeństwa

Te rewelacje osiągają moment wysokiego momentu na zawsze.

Ta strategia ma na celu umieszczenie multimodalnego asystenta zakłopotania-który pozwala na interakcję tekstową, głosową i kamerą-bezpośrednio przed milionami użytkowników za pośrednictwem główna aplikacja na Androida .

Ten kontekst sprawia, że ​​wyniki bezpieczeństwa są szczególnie zaniepokojone, ponieważ Flaws mogą wpływać na użytkowników, którzy nie zostały wyraźnie chętne, aby zainstalować aplikację. The Samsung talks proceed despite Samsung’s deep existing partnership with Google on AI features, although Samsung’s venture arm, Samsung NEXT, is a prior investor in Perplexity and reportedly considering further investment.

Wzorzec pytań pośród wzrostu

Ten nacisk na integrację urządzeń jest poparta znaczną działalnością finansową, z pewnością zakłopotania patrz 500 milion do 1 milion dolarów. Wycena w wysokości 18 miliardów dolarów , wspierana przez domowe powtarzające się przychody w wysokości 100 milionów dolarów.

Firma również aktywnie rozszerzy swoją ofertę, uruchamiając Sonar API na rzecz użytkowania przedsiębiorstw, tryb „głębokich badań”, a nawet w poszukiwaniu zdolności e-commerce przez partnerstwo z pod koniec marszu. Obsługa potencjalnie wrażliwych informacji o płatnościach i wysyłkach dodaje kolejnej warstwy obaw dotyczących fundamentu bezpieczeństwa aplikacji.

Audyt Appknox nie jest pierwszym zakłopotaniem z kontrolą nad jej praktykami. Forbes i Wired oskarżyli firmę o agresywne zeskrobanie treści internetowych o jej streszczenia AI, rzekomo ignorując instrukcje wydawcy (Robots.txt) i właściwe przypisanie, prowadząc usługi Amazon Web, aby podobno zbadać potencjalne warunki naruszenia usług.

Zakal w tym czasie odmówił tych zarzutów. Wcześniej, w styczniu, Aravind Srinivas zajął się obawami dotyczącymi prywatności związanych z korzystaniem z modelu Deepeek opracowanego przez Chińczyków, zapewniając użytkownikom, że zakłopotanie hostowało go na serwerach US/EU i stwierdzając: „Żadne z twoich danych nie trafia do Chin.”

Podczas gdy firma utrzymuje Przedstawianie zasad, takich jak segregacja danych, kontrole dostępu za pośrednictwem AWS IAM oraz korzystanie z narzędzi takich jak Cloudflare i Wiz, wyniki AppkNox sugerują potencjalne luki między określonym bezpieczeństwem infrastruktury a praktyczną implementacją bezpieczeństwa w samej aplikacji Androida.