Siber Güvenlik

Acil: 282 iOS AI Uygulaması API Anahtarlarını Sızdırıyor!

teknomers
teknomers

Giriş

Son dönemde yapılan bir araştırma, iPhone için geliştirilen 444 AI chatbot uygulamasının 282’sinin (yaklaşık üçte iki) ağ trafiği aracılığıyla ücretli AI erişimini açığa çıkardığını göstermektedir. Bu durum, geliştiricilerin dikkat etmeleri gereken ciddi bir güvenlik açığına işaret ediyor.

Contents

Saldırı Nasıl Çalışıyor?

Araştırmalar, uygulamaların kullanıcı verilerini ilettikleri sırada API anahtarları, yeniden kullanılabilir token’lar veya herhangi bir anahtar gerektirmeyen arka uç sunucuları ile hazırlıksız bir şekilde açığa çıktığını göstermiştir. Uygulamanın iletişimini dinleyenler, geliştiricinin hesabı üzerinden model istekleri gönderebilir ve bu nedenle geliştirici faturayı ödemek zorunda kalır. Kullanılan LLMKeyLens aracı sayesinde, uygulama trafiğini izlemek ve kimlik bilgilerini çekmek oldukça kolaylaşmıştır.

Etkilenen Sistemler

Aşağıda, güvenlik açığını taşıyan uygulamaların gruplandırılması yer almaktadır:

  • Plaintext anahtarlar (54 uygulama): Anahtar şifrelenmemiş olarak, tek bir yakalanan istekte okunabilir durumda gönderilmektedir.
  • Anahtar gerektirmeyen uygulamalar (92 uygulama): Uygulama, isteklere cevap veren ve kim olduğuna bakmayan bir sunucu üzerinden yönlendirme yapmaktadır.
  • Yeniden kullanılabilir token’lar (136 uygulama): Uygulama, ham anahtar yerine geçici erişim token’ları veriyor, ancak bu token’lar genellikle yakalanmalarında hala geçerli olmaktadır.

Çözüm ve Korunma

Elde edilen veriler, en az on AI sağlayıcısının etkilendiğini ve bu durumun çeşitli uygulama kategorilerine yayıldığını göstermektedir. Geliştiricilerin, bu tür güvenlik açıklarını önlemek için aşağıdaki önlemleri alması gerekmektedir:

  • Anahtarları uygulama içinde saklamaktan kaçınmak
  • AI çağrılarını kendi sunucuları üzerinden yönlendirmek
  • Hangi anahtarların kullanıldığını kontrol eden bir sistem geliştirmek ve sızdırılan anahtarları iptal etmek

Araştırma sonuçlarına göre, geliştiricilerin %28’i sorunu çözmüş durumda, ancak hala %23’ü açık pozisyonda kalmaktadır. Bu durum, güvenlik açıklarının hızla azaltılması gerektiğini vurgulamaktadır.

Sonuç

Geliştiricilere önerimiz, uygulama içindeki anahtarları derhal güncelleyerek veya kapatarak güvenlik açıklarını giderme yönünde adımlar atmalarıdır. Ayrıca, uygulama trafiğini izlemek ve sızdırılmış anahtarları tespit etmek için güvenlik sistemlerini güçlendirmeleri önem arz etmektedir. Unutulmamalıdır ki, sızdırılan anahtarlarla yapılan saldırılar önemli finansal kayıplara yol açabilir.

Siber Suçlular Platformlar Arası Kötü Amaçlı Yazılım Dağıtmak İçin Popüler Oyun Motoru Godot’tan Yararlanıyor
NPM Hatası Saldırganların Kötü Amaçlı Yazılımları Yasal Paketler Olarak Dağıtmasına İzin Verdi
Daha Fazla Okta Müşterisi Hacklendi
MOVEit’in Siber Sigorta Hesabını Değiştirme Olasılığı Ne Kadar?
Proton, bağımsız ve ücretsiz çoklu platform kimlik doğrulama uygulaması başlattı.
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Nvidia Rakibi Etched, 5 Milyar Dolar Değerlendirme Etti
Sonraki Makale Geliştirici Günlüğü: 2026-06-30

Sanal Medya

Son Eklenenler

Google’ın NotebookLM Araştırmanızı TikTok Tarzı Videolarla Özetliyor
Liste
Gerçek Füzyondan Elektrik Üreten İlk Teknoloji Tanıtıldı
Genel
Anthropic, daha uygun fiyatlı yeni ajansı Claude Sonnet 5’i tanıttı
Yapay Zeka
Windows Defender ‘BlueHammer’ zafiyeti kötü amaçlı yazılımda kullanılıyor
Donanım
GTA 6 Öncesi Rockstar Geliştiricilerinin Grev Olasılığı Artıyor
Oyun
007 First Light Geliştiricisi Personel Kesintisine Gitti ama Yeni Franchise Devam Edecek
Liste