Siber Güvenlik

Acil: 282 iOS AI Uygulaması API Anahtarlarını Sızdırıyor!

teknomers
teknomers

Giriş

Son dönemde yapılan bir araştırma, iPhone için geliştirilen 444 AI chatbot uygulamasının 282’sinin (yaklaşık üçte iki) ağ trafiği aracılığıyla ücretli AI erişimini açığa çıkardığını göstermektedir. Bu durum, geliştiricilerin dikkat etmeleri gereken ciddi bir güvenlik açığına işaret ediyor.

Contents

Saldırı Nasıl Çalışıyor?

Araştırmalar, uygulamaların kullanıcı verilerini ilettikleri sırada API anahtarları, yeniden kullanılabilir token’lar veya herhangi bir anahtar gerektirmeyen arka uç sunucuları ile hazırlıksız bir şekilde açığa çıktığını göstermiştir. Uygulamanın iletişimini dinleyenler, geliştiricinin hesabı üzerinden model istekleri gönderebilir ve bu nedenle geliştirici faturayı ödemek zorunda kalır. Kullanılan LLMKeyLens aracı sayesinde, uygulama trafiğini izlemek ve kimlik bilgilerini çekmek oldukça kolaylaşmıştır.

Etkilenen Sistemler

Aşağıda, güvenlik açığını taşıyan uygulamaların gruplandırılması yer almaktadır:

  • Plaintext anahtarlar (54 uygulama): Anahtar şifrelenmemiş olarak, tek bir yakalanan istekte okunabilir durumda gönderilmektedir.
  • Anahtar gerektirmeyen uygulamalar (92 uygulama): Uygulama, isteklere cevap veren ve kim olduğuna bakmayan bir sunucu üzerinden yönlendirme yapmaktadır.
  • Yeniden kullanılabilir token’lar (136 uygulama): Uygulama, ham anahtar yerine geçici erişim token’ları veriyor, ancak bu token’lar genellikle yakalanmalarında hala geçerli olmaktadır.

Çözüm ve Korunma

Elde edilen veriler, en az on AI sağlayıcısının etkilendiğini ve bu durumun çeşitli uygulama kategorilerine yayıldığını göstermektedir. Geliştiricilerin, bu tür güvenlik açıklarını önlemek için aşağıdaki önlemleri alması gerekmektedir:

  • Anahtarları uygulama içinde saklamaktan kaçınmak
  • AI çağrılarını kendi sunucuları üzerinden yönlendirmek
  • Hangi anahtarların kullanıldığını kontrol eden bir sistem geliştirmek ve sızdırılan anahtarları iptal etmek

Araştırma sonuçlarına göre, geliştiricilerin %28’i sorunu çözmüş durumda, ancak hala %23’ü açık pozisyonda kalmaktadır. Bu durum, güvenlik açıklarının hızla azaltılması gerektiğini vurgulamaktadır.

Sonuç

Geliştiricilere önerimiz, uygulama içindeki anahtarları derhal güncelleyerek veya kapatarak güvenlik açıklarını giderme yönünde adımlar atmalarıdır. Ayrıca, uygulama trafiğini izlemek ve sızdırılmış anahtarları tespit etmek için güvenlik sistemlerini güçlendirmeleri önem arz etmektedir. Unutulmamalıdır ki, sızdırılan anahtarlarla yapılan saldırılar önemli finansal kayıplara yol açabilir.

Kritik Uyarı: Palo Alto, Güvenlik Duvarı Sıfır Gün Açığını Açıkladı
Son iOS 19 sızıntıları, Apple’ın bir sonraki iPhone İşletim Sistemi için ne planladığını doğru bir şekilde göstermeyebilir
Reddit, popüler olmayan yeni API politikasına karşı site çapında bir protesto başladığında çöküyor
Yapay Zeka Hallüsinasyonları ile Yeni Bir Tedarik Zinciri Saldırı Yöntemi: Slopsquatting
Romanya’dan ‘Jack’ ile tanışın! Golden Chickens Kötü Amaçlı Yazılımının Arkasındaki Beyni
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Nvidia Rakibi Etched, 5 Milyar Dolar Değerlendirme Etti
Sonraki Makale Geliştirici Günlüğü: 2026-06-30

Sanal Medya

Son Eklenenler

Hideo Kojima’nın Yeni Projesi Xbox Kesintilerinden Etkilenmeyecek
Oyun
Acer’ın Swift Go 16’sı 900 Dolara Harika Bir Deneyim Sunuyor
Liste
Yeni Bir El Telefonu: Clicks’in BlackBerry Esintili Tasarımıyla Tanışın
Genel
Google, Nano Banana 2 Lite ile daha hızlı ve ucuz görsel üretimi sunuyor
Yapay Zeka
xTool 01 Omni Yazıcısı ile Tüm Yüzeylere UV Baskı Yapın
Donanım
Circle (CRCL) Satışı Aşırı Tepki Olabilir Ancak Open USD Benimseme Sınavında
Finans