22 पॉपुलर ऐप्स में मिला सीक्रेट AI एक्सेस का बड़ा खतरा

Android App API Leak: हाल ही में सामने आई एक साइबर सिक्योरिटी रिपोर्ट ने Android यूजर्स और ऐप डेवलपर्स दोनों की चिंता बढ़ा दी है। CloudSEK के अनुसार, 22 बड़े Android ऐप्स में ऐसी खामी मिली है, जो अनजाने में AI सिस्टम Google Gemini तक पहुंच खोल सकती है। इन ऐप्स को मिलाकर 50 करोड़ से ज्यादा बार डाउनलोड किया जा चुका है, यानी खतरा काफी बड़ा है।

50 करोड़ से ज्यादा डाउनलोड वाले ऐप्स में सामने आई नई साइबर सिक्योरिटी समस्या, API keys के जरिए Google Gemini तक बन रही पहुंच।

क्या है पूरा मामला?

CloudSEK ने अपने सिक्योरिटी टूल BeVigil की मदद से जांच की। इसमें पाया गया है कि कई ऐप्स में ‘AIza’ से शुरू होने वाली Google API keys को सीधे ऐप के कोड में डाला गया है। पहले इन keys को सिर्फ पहचान माना जाता था इसलिए इन्हें छिपाने की जरूरत नहीं समझी जाती थी, लेकिन अब यही keys AI सिस्टम तक पहुंच देने लगी हैं।

कैसे बना यह बड़ा खतरा?

जैसे ही किसी Google Cloud प्रोजेक्ट में Gemini API चालू होता है, उसी प्रोजेक्ट की पुरानी API keys अपने आप Gemini से जुड़ जाती हैं। डेवलपर्स को इसके बारे में न तो कोई चेतावनी मिलती है और न ही उनसे अनुमति ली जाती है।

किन ऐप्स पर असर पड़ा?

CloudSEK ने 22 पॉपुलर ऐप्स में 32 एक्टिव API keys पाई हैं। ये ऐप्स ट्रैवल, फाइनेंस, एजुकेशन और प्रोडक्टिविटी जैसे अलग-अलग सेक्टर से जुड़े हैं।

ये हैं प्रमुख ऐप्स

• OYO Hotel Booking App
• Google Pay for Business
• Taobao
• apna Job Search App
• ELSA Speak
• Shutterfly
• JioSphere Web Browser

खास बात यह है कि ELSA Speak ऐप में रिसर्चर्स ने असली डेटा लीक भी दिखाया, जहां यूजर्स के ऑडियो रिकॉर्डिंग तक पहुंच मिल गई।

हैकर्स क्या कर सकते हैं?

अगर किसी हमलावर को ये API key मिल जाती है, तो वह यूजर्स की पर्सनल फाइलें, देख सकता हैं, AI का ज्यादा इस्तेमाल करके भारी बिल बना सकता है, सर्वर को ओवरलोड कर सकता है, जिससे असली यूजर्स को परेशानी होती है और AI से जुड़े संवेदनशील डेटा तक पहुंच सकता है।

READ MORE: Google Gemini AI का Deep Research हुआ और भी पावरफुल

कितना बड़ा नुकसान हो सकता है?

• एक डेवलपर को एक रात में करीब 12 लाख रुपये का नुकसान
• एक जापानी कंपनी को 1 करोड़+ रुपये का नुकसान
• एक छोटी टीम को 48 घंटे में 82,314 डॉलर का बिल
• कई मामलों में पैसे वापस पाना भी आसान नहीं रहा।

READ MORE: Google Gemini कब बनेगा एंड्रॉइड का नया असिस्टेंट?

असली समस्या कहां है?

CloudSEK के रिसर्चर तुहिन बोस के अनुसार, यह डेवलपर्स की गलती नहीं है। उन्होंने Google के पुराने नियमों के अनुसार API keys का इस्तेमाल किया था। असल समस्या सिस्टम में हुए बदलाव की है, जिसमें बिना जानकारी दिए public keys को sensitive बना दिया गया।