- La clave API de Google expuesta permite a los atacantes ejecutar solicitudes ilimitadas de Gemini AI
- Los desarrolladores enfrentan graves pérdidas financieras debido al acceso no autorizado a la infraestructura de IA
- Las credenciales codificadas elevan los identificadores públicos a tokens de autenticación activos para Gemini AI
Los desarrolladores se enfrentan a graves consecuencias, ya que las claves API de Google expuestas se utilizan para acceder a Gemini AI sin autorización, lo que genera importantes pérdidas financieras, advierten los expertos.
Los investigadores de seguridad de Cloudsec rastrearon la causa raíz de este incidente hasta una elevación inesperada de las claves API disponibles públicamente en los certificados activos de Gemini AI.
Muchos desarrolladores han incorporado durante mucho tiempo claves para servicios como Maps o Firebase en aplicaciones públicas, siguiendo las pautas oficiales de Google, sin esperar que estas claves obtengan acceso a la infraestructura de inteligencia artificial.
El artículo continúa a continuación.
El factor principal es la altura de las claves API disponibles públicamente.
Un caso involucró a un desarrollador solitario cuya puesta en marcha casi colapsó cuando un atacante usó una clave de acceso público para inundar Gemini AI con solicitudes de conjeturas.
El desarrollador retiró la clave a los pocos minutos de recibir una alerta de facturación, pero debido a un retraso en los informes en el sistema de facturación de Google Cloud, el cargo ya había alcanzado los $15,400.
De manera similar, una empresa japonesa experimentó casi $128,000 en uso no autorizado de la API Gemini a pesar de las restricciones de IP a nivel de firewall.
Además, un pequeño equipo de desarrollo en México experimentó un aumento de $82,314 en solo 48 horas, un aumento dramático de 455 veces sobre el gasto típico.
“Este problema no se debe a negligencia de los desarrolladores; las implementaciones estuvieron en línea con las pautas establecidas por Google”, dijo Tuhin Bose, investigador de ciberseguridad de CloudSEK.
Explicó que la arquitectura convertía efectivamente identificadores no confidenciales en tokens de autenticación, creando una vulnerabilidad sistémica en numerosas aplicaciones.
La investigación de CloudSEK identificó 32 claves API de Google expuestas en 22 aplicaciones de Android con una base de instalación combinada de 500 millones de usuarios.
Las aplicaciones afectadas incluyen nombres conocidos como OYO Hotel Booking App, Google Pay for Business, Taobao y ELSA Speak.
Los investigadores confirmaron la exposición de datos en ELSA Speak cuando accedieron a archivos de audio enviados por los usuarios a través de la API de Gemini Files.
La vulnerabilidad podría permitir a los atacantes realizar llamadas ilimitadas a la API de Gemini, acceder a datos confidenciales de los usuarios y agotar las cuotas de API de la organización.
También puede continuar con el ciclo de actualización de la aplicación, afectando gravemente tanto a los desarrolladores como a los usuarios finales.
Los desarrolladores que siguieron las pautas de Google ahora, sin saberlo, tienen credenciales activas para potentes herramientas de inteligencia artificial sin notificaciones ni solicitudes de participación.
Medidas técnicas como revocar claves y restringir permisos de proyectos pueden reducir la exposición.
Sin embargo, el impacto financiero y operativo para los desarrolladores es sustancial, lo que sugiere que las prácticas actuales para gestionar las claves API y las integraciones de IA requieren una reevaluación inmediata.
La exposición a credenciales codificadas demuestra los riesgos inherentes a asumir la compatibilidad con versiones anteriores de los servicios en la nube modernos habilitados para IA.
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
