- Offengelegte Google-API-Schlüssel ermöglichen es Angreifern, unbegrenzte Gemini-KI-Anfragen auszuführen
- Entwickler erleiden erhebliche finanzielle Verluste durch unbefugten Zugriff auf die KI-Infrastruktur
- Fest codierte Anmeldeinformationen machen öffentliche Identifikatoren zu aktiven Authentifizierungs-Tokens für Gemini AI
Den Entwicklern drohen schwerwiegende Konsequenzen, wenn sie entlarvt werden Google API-Schlüssel werden ausgenutzt, um unbefugt auf Gemini AI zuzugreifen, was zu erheblichen finanziellen Verlusten führt, warnen Experten.
Sicherheitsforscher von CloudSek fanden heraus, dass die Hauptursache dieser Vorfälle in der unbeabsichtigten Erweiterung öffentlich verfügbarer API-Schlüssel in Live-Anmeldeinformationen für Gemini AI liegt.
Viele Entwickler haben seit langem Schlüssel für Dienste wie Maps oder Firebase in öffentlich zugängliche Anwendungen eingebettet und folgen dabei den offiziellen Richtlinien von Google – sie hätten nie damit gerechnet, dass diese Schlüssel Zugriff auf die KI-Infrastruktur erhalten würden.
Der Artikel wird weiter unten fortgesetzt
Die Hauptursache ist die Erweiterung öffentlich verfügbarer API-Schlüssel
In einem Fall ging es um einen Einzelentwickler, dessen Startup beinahe zusammengebrochen wäre, nachdem ein Angreifer einen öffentlich zugänglichen Schlüssel verwendet hatte, um Gemini AI mit Inferenzanfragen zu überfluten.
Der Entwickler widerrief den Schlüssel innerhalb von Minuten nach Erhalt einer Abrechnungsbenachrichtigung, doch aufgrund einer Berichtsverzögerung im Abrechnungssystem von Google Cloud beliefen sich die Gebühren bereits auf 15.400 US-Dollar.
In ähnlicher Weise erlebte ein japanisches Unternehmen trotz der unbefugten Nutzung der Gemini-API etwa 128.000 US-Dollar Firewall-IP-Einschränkungen auf Ebene.
Außerdem verzeichnete ein kleines Entwicklungsteam in Mexiko in nur 48 Stunden einen Anstieg um 82.314 US-Dollar, eine dramatische Steigerung um das 455-fache gegenüber den üblichen Ausgaben.
„Dieses Problem ist nicht auf Nachlässigkeit der Entwickler zurückzuführen; die Implementierungen entsprachen den von Google vorgeschriebenen Richtlinien“, sagte Tuhin Bose, Cybersicherheitsforscher bei CloudSEK.
Er erklärte, dass die Architektur nicht-sensible Identifikatoren effektiv in Authentifizierungstoken umwandelt und so eine systemische Schwachstelle in zahlreichen Anwendungen schafft.
Die Untersuchungen von CloudSEK identifizierten 32 offengelegte Google-API-Schlüssel in 22 Ländern Android-Anwendungen mit einer kombinierten Installationsbasis von über 500 Millionen Benutzern.
Zu den betroffenen Apps gehören bekannte Namen wie OYO Hotel Booking App, Google Pay for Business, Taobao und ELSA Speak.
Forscher bestätigten die Offenlegung von Daten in ELSA Speak, als sie über die Gemini Files API auf von Benutzern übermittelte Audiodateien zugriffen.
Die Sicherheitslücke ermöglicht es Angreifern, unbegrenzte Gemini-API-Aufrufe durchzuführen, auf vertrauliche Benutzerdaten zuzugreifen und die API-Kontingente der Organisation auszuschöpfen.
Es kann auch über App-Update-Zyklen hinweg bestehen bleiben und sowohl Entwickler als auch Endbenutzer schwerwiegend beeinträchtigen.
Entwickler, die den Anweisungen von Google gefolgt waren, halten Live-Anmeldeinformationen nun unwissentlich für mächtig KI-Tools ohne Benachrichtigung oder Opt-in-Aufforderung.
Technische Maßnahmen wie der Widerruf von Schlüsseln und die Einschränkung von Projektberechtigungen können die Gefährdung verringern.
Die finanziellen und betrieblichen Auswirkungen auf Entwickler sind jedoch erheblich, was darauf hindeutet, dass die aktuellen Praktiken für den Umgang mit API-Schlüsseln und KI-Integrationen eine sofortige Neubewertung erfordern.
Die Offenlegung fest codierter Anmeldeinformationen verdeutlicht die Risiken, die mit der Annahme der Abwärtskompatibilität für moderne KI-gestützte Cloud-Dienste verbunden sind.
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
