MEDIAAKSI.COM – Sebuah penelitian mendalam terhadap 1,8 juta aplikasi Android di Google Play Store yang mengklaim memiliki fitur kecerdasan buatan (AI) mengungkap adanya kegagalan penanganan data yang meluas. Sebanyak 72% aplikasi tersebut teridentifikasi mengandung setidaknya satu informasi rahasia yang ditanam langsung dalam kode aplikasi, dengan rata-rata setiap aplikasi membocorkan 5,1 informasi rahasia.
Temuan ini menunjukkan bahwa praktik pengkodean yang tidak aman masih sangat umum terjadi meskipun telah ada peringatan sejak lama. Lebih dari 81% dari semua rahasia yang terdeteksi terkait erat dengan infrastruktur Google Cloud, mencakup pengidentifikasi proyek, kunci API, basis data Firebase, dan tempat penyimpanan (storage buckets).
Dari endpoint Google Cloud yang tertanam, sebanyak 26.424 teridentifikasi, namun sekitar dua pertiganya mengarah ke infrastruktur yang sudah tidak aktif. Dari endpoint yang masih aktif, 8.545 storage buckets Google Cloud masih memerlukan otentikasi, dan ratusan lainnya dikonfigurasi secara keliru sehingga dapat diakses publik.
Kondisi ini berpotensi mengekspos lebih dari 200 juta file dengan total hampir 730TB data pengguna. Situasi ini tidak dapat diatasi hanya dengan alat dasar seperti firewall atau penghapus malware setelah kebocoran terjadi.
Kelemahan Keamanan AI Mengancam Data Pengguna Android
Studi ini juga mengidentifikasi 285 basis data Firebase yang sama sekali tidak memiliki kontrol otentikasi, secara kolektif membocorkan setidaknya 1,1GB data pengguna. Menariknya, dalam 42% dari basis data yang terpapar ini, peneliti menemukan tabel yang diberi label sebagai bukti konsep (proof of concept), menandakan adanya kompromi sebelumnya oleh penyerang.
Beberapa basis data bahkan masih tidak aman meskipun terdapat tanda-tanda intrusi yang jelas, mengindikasikan pemantauan yang buruk alih-alih kesalahan tunggal. Meskipun kekhawatiran terhadap fitur AI meningkat, kebocoran kunci API model bahasa besar (large language model) ternyata relatif jarang.
Hanya sejumlah kecil kunci yang terkait dengan penyedia besar seperti OpenAI, Google Gemini, dan Claude yang terdeteksi dalam keseluruhan dataset. Dalam konfigurasi tipikal, kunci yang bocor ini memungkinkan penyerang untuk mengajukan permintaan baru tetapi tidak memberikan akses ke percakapan yang tersimpan, prompt historis, atau respons sebelumnya.
Beberapa eksposur paling parah melibatkan infrastruktur pembayaran langsung, termasuk kunci rahasia Stripe yang bocor yang mampu memberikan kontrol penuh atas sistem pembayaran. Kredensial bocor lainnya memungkinkan akses ke platform komunikasi, analitik, dan data pelanggan, yang memungkinkan peniruan aplikasi atau ekstraksi data tanpa izin.
Skala data yang terekspos dan jumlah aplikasi yang telah terkompromi menunjukkan bahwa penyaringan toko aplikasi saja belum cukup mengurangi risiko sistemik.
