Hardkodede API-nøkler i Android-apper har lenge vært ansett som lavrisiko. Google anbefalte det selv for tjenester som Maps og Firebase. Sikkerhetsforskere fra CloudSEK har nå avdekket at disse nøklene utilsiktet ble oppgradert til autentiseringstokener for Gemini AI, og skapte en systemisk sårbarhet på tvers av 22 apper.
En solo-utvikler oppdaget at nøkkelen ble misbrukt til å oversvømme Gemini med inferensforespørsler. Til tross for at nøkkelen ble revokert innen minutter, hadde regningen nådd 15 400 dollar på grunn av forsinkelser i Google Clouds faktureringssystem. Et japansk selskap ble belastet 128 000 dollar, og et meksikansk team så en økning på 82 314 dollar på bare 48 timer, ifølge TechRadar.
«This issue does not stem from developer negligence; the implementations were compliant with Google's prescribed guidelines» — Tuhin Bose, sikkerhetsforsk er hos CloudSEK
Blant de berørte appene er OYO Hotel Booking, Google Pay for Business, Taobao og ELSA Speak. Forskerne bekreftet dataeksponering i ELSA Speak da de fikk tilgang til brukerinnsendte lydfiler via Gemini Files API. Sårbarheten lar angripere kjøre ubegrensede Gemini API-kall, få tilgang til sensitive brukerdata og tømme organisasjoners API-kvoter.
Hva bør du gjøre?
- Sjekk om dine Google API-nøkler har fått tilgang til Gemini-tjenester, selv om du aldri aktiverte det manuelt.
- Aldri hardkod API-nøkler i klientapper. Bruk server-side proxying eller Google Cloud Secret Manager.
- Sett opp budsjettvarsler og brukstak i Google Cloud Console for å begrense eksponering ved lekkasjer.