- وجد باحثو أيكيدو أن مفاتيح Google API تظل قابلة للاستخدام لمدة تصل إلى 23 دقيقة بعد الحذف
- تباينت معدلات النجاح بين التجارب، حيث كانت المشاريع التي تدعم Gemini عرضة بشكل خاص لسرقة الملفات والمحادثات المؤقتة
- ترفض Google المشكلة باعتبارها تأخيرًا في النشر، لكن يوصي Aikido بالتعامل مع الإزالة على أنها نافذة مدتها 30 دقيقة ومراقبة الاستخدام غير المتوقع
إذا كنت تتوقع أن يتوقف عن العمل بعد حذف مفتاح Google API الخاص بك – بأثر فوري – فلدينا مفاجأة لك.
علماء الايكيدو وجد يمكن للمستخدمين المصادقة بنجاح لمدة تصل إلى 23 دقيقة بعد الإزالة، مما يخلق خطرًا أمنيًا هائلاً وفرصة كبيرة للجهات الفاعلة في مجال التهديد.
أسوأ ما في الأمر هو أن المستخدمين ليس لديهم أي وسيلة تقريبًا لمعرفة متى تغلق نافذة المصادقة ولا يوجد أي شيء يمكنهم فعله على الإطلاق لتسريع ذلك.
“تصريحات كاذبة”
ووصفت Aikido في تقريرها إجراء 10 محاولات على مدار يومين، وإنشاء وحذف مفاتيح API، وإرسال 3-5 طلبات مصادق عليها في الثانية لقياس نافذة الإلغاء.
وكانت النتائج غير متسقة إلى حد ما: أطول نافذة كانت 23 دقيقة وأقصرها 8 دقائق.
ووجد الفريق أيضًا أن معدلات النجاح لا يمكن التنبؤ بها إلى حد كبير، حيث أظهرت إحدى الدراسات أن 79% من الطلبات كانت ناجحة بعد دقيقة واحدة من الحذف، بينما أظهرت دراسة أخرى 5% فقط. وشدد أيكيدو على أن المشكلة تصبح أسوأ بالنسبة للتصاميم التي تتضمن الجوزاء. يمكن للجهات الفاعلة في مجال التهديد تفريغ عمليات نقل الملفات بسهولة نسبيًا واستخراج المحادثات المخزنة مؤقتًا باستخدام مفتاح “محذوف”.
انتقد التقرير شركة جوجل بسبب واجهة المستخدم المضللة التي تُعلم المستخدمين الذين حذفوا مفاتيحهم: “بمجرد حذفها، لم يعد من الممكن استخدامها لتقديم طلبات إلى واجهة برمجة التطبيقات”.
وقال أيكيدو: “هذا البيان كاذب بشكل واضح”. “ليس لدى المستخدم أي طريقة للتحقق مما إذا كان المفتاح لا يزال نشطًا، ولا توجد طريقة لتسريع عملية إبطاله، ولا توجد طريقة للتأكد من توقفه عن العمل تمامًا.”
ردت Google على الكشف عن Aikido بإغلاق التقرير والقول إنها لن تصلحه. ويقول التقرير: “موقف الفريق، كما نفهمه، هو أن تأخير النشر هو خاصية معروفة للنظام وليس مشكلة أمنية”.
قد لا يكون هناك حل أو حل بديل، ولكن تتم مناقشة الحلول المخففة في أيكيدو. يجب اعتبار حذف المفتاح عملية مدتها 30 دقيقة، ويجب على المستخدمين خلالها مراقبة “واجهات برمجة التطبيقات والخدمات الممكّنة” في وحدة تحكم Google Cloud Platform للاستخدام غير المتوقع لبيانات الاعتماد المحذوفة.
أفضل برامج مكافحة الفيروسات لكل ميزانية
اتبع TechRadar على أخبار جوجل و أضفنا كمصدرك المفضل لتلقي أخبار ومراجعات وآراء الخبراء حول قنواتك.
