Firehound — хранилище iOS-приложений, раскрывающих данные пользователей

Исследовательская лаборатория CovertLabs создала список (в основном) связанных с ИИ приложений в App Store, которые допускают утечку и раскрытие пользовательских данных, включая имена, почтовые адреса и историю чатов. Вот подробности.

«Хуже уже некуда»

Как заметил пользователь @vxunderground на X, проект Firehound сканирует и индексирует приложения, которые раскрывают и допускают утечку конфиденциальных пользовательских данных.

Как объясняет @vxunderground:

«Это апокалипсис. Специалист по OSINT @Harrris0n создал Firehound. Он (или кто-то другой, я не знаю) начал сложную задачу поиска ИИ-мусора в App Store Apple. На момент написания этой статьи они выявили 198 iOS-приложений, которые допускают утечку информации о пользователях (в той или иной форме). Неудивительно, что все они связаны с ИИ».

Из 198 перечисленных на данный момент приложений 196 раскрывают данные пользователей. Приложение Chat & Ask AI лидирует в рейтингах Firehound по показателям «Наибольшее количество раскрытых файлов» и «Наибольшее количество раскрытых записей», раскрывая более 406 миллионов записей от более чем 18 миллионов пользователей.

Помимо публикации на Firehound, @Harris0n также написал:

«В ходе планового сканирования безопасности я обнаружил критическую уязвимость в приложении Chat & Ask AI, которая раскрывает всю историю чатов более 18 миллионов пользователей — это 380 миллионов сообщений, полностью доступных любому, кто знает, где искать.

Это худшее, что может быть.

Каждое сообщение, которое вы когда-либо отправляли через это приложение, хранится там незащищенным.

Подумайте о том, что люди рассказывают ИИ — проблемы с психическим здоровьем, проблемы в отношениях, финансовые ситуации, медицинские вопросы, вещи, которые вы никогда бы не рассказали другому человеку.

А теперь представьте, что все это связано с вашей электронной почтой и номером телефона и доступно любому.

Разработчики должны понести ответственность за такой уровень халатности.

Если вы используете это приложение, прекратите им пользоваться. Если вы знаете кого-то, кто им пользуется, предупредите его. Пожалуйста, поделитесь этой информацией».

Большинство приложений на Firehound, по всей видимости, раскрывают данные через ненадёжно защищённые базы данных или облачные хранилища, и во многих описаниях раскрываются базовые схемы данных и количество записей.

Firehound ограничивает бесплатный доступ к данным и требует от пользователей регистрации для запроса ограниченных наборов данных и подробных результатов сканирования.

Несмотря на первоначальное утверждение @vxunderground о том, что Firehound каталогизирует «некачественные продукты ИИ», эта информация напрямую не указана ни в профиле @Harrris0n на X, ни на веб-сайте Firehound.

Хотя многие приложения кажутся связанными с ИИ, в настоящее время невозможно с уверенностью утверждать, были ли они запущены в результате использования вайб-кодинга или других инструментов.

Тем не менее, Firehound напоминает пользователям о необходимости внимательно относиться к используемым платформам и передаваемой информации (особенно когда речь идёт о чат-ботах с ИИ), а разработчикам — о необходимости обеспечения надлежащей защиты пользовательских данных, независимо от того, насколько низок порог входа для разработки и выпуска приложения.