Chaves API encontradas em aplicativos Android expõem Gemini a criminosos

Problema estruturalmente difícil de resolver

Chaves de API incorporadas em 22 aplicativos Android com mais de 500 milhões de usuários combinados estão dando acesso não autorizado ao Gemini, a inteligência artificial do Google.

Pesquisadores da CloudSEK descobriram que credenciais públicas embutidas nos apps, por recomendação da empresa, passaram a autenticar nos serviços de IA da companhia após a ativação do Gemini.

Qualquer pessoa capaz de descompilar um APK, o arquivo de instalação de apps Android, pode extrair essas chaves.

As chaves podem ser usadas para acessar dados armazenados na plataforma ou gerar cobranças de milhares de dólares por dia na conta do desenvolvedor.

Como se proteger

A remediação imediata envolve auditar os projetos no Google Cloud Console para identificar quais têm a Generative Language API habilitada, verificar quais chaves nesses projetos são irrestritas ou têm acesso explícito ao Gemini, e rotacionar qualquer chave que apareça em código client-side, repositórios públicos ou APKs distribuídos.

A abordagem correta para autenticação em APIs sensíveis é usar chaves restritas por IP, por referrer HTTP ou por escopo de API.