- साइबर सिक्योरिटी फर्म CloudSEK की एक रिपोर्ट में बड़ा खुलासा हुआ है। रिपोर्ट के मुताबिक, Google के API Key सिस्टम में एक खामी के कारण Android ऐप्स में इस्तेमाल हो रहा Gemini यूजर्स के डेटा के लिए खतरा बन सकता है।
- कैसे बढ़ रहा है डेटा लीक का खतरा?
- रिपोर्ट में बताया गया है कि एक खास तरह का API Key (AIza…) जो पहले सिर्फ एक पहचान के तौर पर इस्तेमाल होता था, Gemini API इंटीग्रेशन के बाद संवेदनशील एक्सेस हासिल कर लेता है। अगर यह Key किसी गलत व्यक्ति के हाथ लग जाए, तो वह यूजर्स द्वारा चैटबॉट के साथ शेयर किए गए डेटा, जैसे डॉक्यूमेंट, फोटो और ऑडियो तक पहुंच सकता है।
- हजारों ऐप्स में मिला जोखिम
- CloudSEK के सिक्योरिटी प्लेटफॉर्म BeVigil ने टॉप 10,000 Android ऐप्स की जांच की। इसमें 22 ऐप्स में 32 लाइव Google API Keys हार्डकोडेड मिलीं, जिनके कुल डाउनलोड 50 करोड़ से ज्यादा हैं। इन ऐप्स में OYO, Google Pay for Business, Taobao और apna Job Search App जैसे बड़े नाम शामिल हैं।
कैसे होता है यह पूरा एक्सपोजर?
डेवलपर्स आमतौर पर Google Maps या Firebase जैसी सेवाओं के लिए API Key को ऐप के कोड में जोड़ते हैं, लेकिन जैसे ही जेनरेटिव लैंग्वेज API (Gemini) को एक्टिव किया जाता है, वही Key बिना किसी चेतावनी के Gemini के सभी फीचर्स तक एक्सेस दे देता है। इसका मतलब है कि अगर कोई हैकर ऐप को डीकंपाइल कर ले, तो वह आसानी से इस Key को हासिल कर सकता है और इसे Gemini के क्रेडेंशियल की तरह इस्तेमाल कर सकता है।
यूजर्स और डेवलपर्स दोनों के लिए खतरा
यूजर्स के लिए खतरा यह है कि उनका पर्सनल डेटा जो वे Gemini के साथ शेयर करते हैं, चोरी हो सकता है। वहीं डेवलपर्स के लिए यह खतरा आर्थिक भी है। Gemini API फ्री नहीं है, ऐसे में अगर कोई गलत तरीके से इसका इस्तेमाल करता है, तो डेवलपर्स को भारी बिल चुकाना पड़ सकता है।
