Sebuah celah dalam sistem kunci API Google dilaporkan telah membuat aplikasi android rentan terhadap akses yang tidak disengaja ke platform AI Gemini miliknya.
Menurut laporan dari CloudSEK yang diterbitkan pada 8 April, masalah ini memengaruhi aplikasi Android yang banyak digunakan dan dapat memungkinkan penyerang untuk mengakses data sensitif, menimbulkan biaya yang tidak terduga, dan mengganggu layanan.
Kerentanan ini berpusat pada format kunci API Google yang sudah lama digunakan, yang awalnya dirancang untuk layanan yang dapat diakses publik seperti Maps dan Firebase.
CloudSEK menemukan bahwa ketika API Gemini diaktifkan dalam proyek Google Cloud, kunci yang ada secara otomatis mendapatkan akses ke titik akhir AI tanpa pemberitahuan atau persetujuan pengguna.
Perilaku ini menandai penyimpangan dari panduan sebelumnya, yang menyatakan bahwa kunci tersebut aman untuk disematkan dalam kode sisi klien. Pengembang yang mengikuti rekomendasi tersebut kini mungkin tanpa sadar mengekspos kredensial yang terkait dengan sistem AI canggih.
CloudSEK dilaporkan menganalisis 10.000 aplikasi Android menggunakan platform BeVigil miliknya, mengidentifikasi 32 kunci aktif di 22 aplikasi. Aplikasi-aplikasi ini secara kolektif mencakup lebih dari 500 juta instalasi.
Dalam satu kasus yang terkonfirmasi, para peneliti mengakses file audio yang diunggah pengguna dari aplikasi pembelajaran bahasa Inggris melalui API Gemini Files. Data tersebut mencakup metadata file, stempel waktu, dan tautan yang dapat diakses, yang menunjukkan bahwa konten pribadi dapat diambil menggunakan kunci yang terekspos.
"Ini adalah kelemahan struktural," tulis CloudSEK. "Google menggabungkan konsep 'kunci publik' dengan rahasia AI sisi server, dan pengaktifan Gemini seharusnya memicu pembatasan kunci wajib atau memaksa pembuatan kunci baru yang terdefinisi dengan baik."
Risiko yang terkait dengan kerentanan tersebut meliputi:
- Akses ke file pribadi yang tersimpan di Gemini
- Penggunaan API tanpa izin menyebabkan kerugian finansial.
- Gangguan layanan akibat kehabisan kuota
CloudSEK menjelaskan bahwa ekosistem seluler memperkuat ancaman tersebut, karena paket aplikasi dapat dengan mudah diunduh dan dianalisis untuk mengekstrak kunci yang tertanam di dalamnya. Banyak dari kunci ini tetap ada di berbagai versi, sehingga meningkatkan risiko jangka panjang.
Para peneliti merekomendasikan agar pengembang melakukan audit terhadap proyek cloud mereka, merotasi kunci yang terekspos, dan membatasi akses API hanya pada layanan yang dibutuhkan.