Google Bug: Gemini-Leak in Android-Apps entdeckt

Ein Bericht von CloudSEK zeigt, dass fest im Code hinterlegte Google API-Schlüssel in Android-Apps Gemini-Zugänge offenlegen.

Die Implementierung der API-Schlüssel-Architektur von Google hat Berichten zufolge ein großes Risiko für Gemini-Datenlecks in Android-Apps geschaffen. Laut der Cybersecurity-Firma CloudSEK erhält ein bestimmter clientseitiger API-Schlüssel, der zuvor nur als Kennung diente, plötzlich Zugriffsrechte, sobald eine App die Gemini API integriert. In den Händen eines Angreifers kann dies dazu führen, dass Nutzerdaten, die mit dem Chatbot geteilt werden, offengelegt werden. Außerdem können Angreifer unerlaubte API-Anfragen ausführen und dadurch hohe Kosten für Entwickler verursachen.

Wie ein Google API-Schlüssel das Gemini-Leak auslöst

In einem Blogbeitrag erklärte CloudSEK, dass ein API-Schlüssel (AIza...), der laut Google sicher im App-Code verwendet werden kann, nach der Integration von Gemini plötzlich Zugriffsrechte erhält. Diese Sicherheitslücke baut auf früheren Erkenntnissen von Truffle Security auf, die ein ähnliches Problem in einem Google Cloud-Projekt gefunden hatten.

Die Sicherheitsplattform BeVigil von CloudSEK untersuchte die Top 10.000 Android-Apps (basierend auf Installationen) und fand 32 aktive Google API-Schlüssel, die in 22 Apps fest im Code eingebettet waren. Diese Apps haben zusammen über 500 Millionen Installationen. Zu den betroffenen Apps gehören unter anderem Oyo Hotel, Google Pay for Business, Taobao, apna Job Search App, Elsa Speak, HD Sticker & Pack WAStickersApps, The Hindu, ISS Live Now und weitere.

Laut Bericht wird der API-Schlüssel im Format AIza… normalerweise verwendet, wenn Entwickler Funktionen wie Google Maps oder Firebase integrieren. Sobald jedoch die Generative Language API aktiviert wird, erhält der Schlüssel automatisch Zugriff auf alle Gemini-Endpunkte, ohne Warnung oder Hinweis. Dadurch kann jeder, der die App dekompiliert, den Schlüssel extrahieren und als gültige Gemini-Zugangsdaten verwenden.

Für Endnutzer bedeutet das, dass alle Daten, die sie mit Gemini teilen – wie Dokumente, Bilder oder Audio-Dateien – potenziell zugänglich sind. Auch sensible Informationen im gespeicherten KI-Kontext können gelesen, kopiert oder weitergegeben werden.

Auch für Entwickler und Unternehmen entstehen erhebliche Risiken. Die Nutzung der Gemini API ist kostenpflichtig. Wenn Angreifer diese unbefugt verwenden, können hohe Kosten entstehen. Zudem drohen rechtliche Probleme, falls Nutzerdaten kompromittiert werden.

CloudSEK empfiehlt Entwicklern und Unternehmen, alle API-Schlüssel in ihren Projekten zu überprüfen, eingebettete Schlüssel zu ersetzen, den Zugriff nach Diensten zu beschränken und keine API-Schlüssel direkt im App-Code zu speichern. Für Endnutzer gilt: Sie sollten vorsichtig sein, wenn sie Gemini-Funktionen in Apps nutzen. Wenn sie einer App nicht vertrauen, sollten sie Gemini nur über offizielle Anwendungen und Plattformen verwenden.