Gemini AI : तुमच्या फोनमधील Oyo, Google Pay ॲप्सना मोठा धोका, तुमचा डेटा सुरक्षित आहे का?
सार
Google Gemini AI Flaw Exposes User Data : गुगलच्या Gemini AI सिस्टीममध्ये एक मोठी गडबड समोर आली आहे. CloudSEK नावाच्या सायबर सुरक्षा कंपनीने ही चूक शोधून काढली आहे.
Google Gemini AI Flaw Exposes User Data : सायबर सुरक्षा फर्म CloudSEK ने गुगलच्या Gemini AI सिस्टीममधील एका मोठ्या धोक्याबद्दल माहिती दिली आहे. अँड्रॉइड ॲप्समध्ये वापरल्या जाणाऱ्या API कीजच्या सिस्टीममध्ये ही गंभीर चूक आढळून आली आहे. रिपोर्टनुसार, आधी फक्त एक ओळख (Identifier) म्हणून काम करणाऱ्या API कीजना, Gemini AI सोबत जोडल्यानंतर अतिरिक्त अधिकार (Credential Privileges) मिळत आहेत आणि सगळा घोळ इथेच आहे.
गुगल API कीमुळे Gemini मध्ये धोका कसा निर्माण होतो?
CloudSEK ने एका ब्लॉग पोस्टमध्ये सविस्तर माहिती दिली आहे. त्यांनी सांगितलं की, गुगलला वाटत होतं की काही विशिष्ट फॉरमॅटमधील API कीज अँड्रॉइड ॲप्सच्या कोडमध्ये टाकणं सुरक्षित आहे. पण जेव्हा या ॲप्सना Gemini AI सोबत जोडलं गेलं, तेव्हा अचानक या कीजना अतिरिक्त अधिकार मिळू लागले. Gemini AI ची जनरेटिव्ह लँग्वेज API चालू करताच, या कीजना Gemini च्या सर्व एंडपॉइंट्समध्ये प्रवेश मिळतो. याआधी Truffle Security नावाच्या कंपनीने गुगल क्लाउड प्रोजेक्टमध्ये अशीच एक चूक शोधली होती, त्याच आधारावर हा नवीन धोका समोर आला आहे.
या परिस्थितीचा अर्थ असा आहे की, जो कोणी ॲपला डीकंपाइल (कोड वेगळा करणे) करू शकतो, तो या API कीज मिळवू शकतो. यामुळे, युझर्सनी Gemini सोबत शेअर केलेला डेटा, जसं की डॉक्युमेंट्स, फोटो, ऑडिओ फाइल्स, चुकीच्या हातात पडू शकतो. इतकंच नाही, तर AI सोबत केलेल्या संभाषणांची कॅश मेमरीमधील माहितीही चोरली जाऊ शकते.
CloudSEK च्या BeVigil प्लॅटफॉर्मने केलेल्या तपासणीत, सर्वाधिक इन्स्टॉल झालेल्या १०,००० अँड्रॉइड ॲप्सपैकी २२ ॲप्समध्ये ३२ अशा धोकादायक API कीज सापडल्या. यामध्ये Oyo Hotels, Google Pay for Business, Taboo, apna Job Search App आणि Elsa Speak सारख्या प्रसिद्ध ॲप्सचा समावेश आहे. या सर्व ॲप्सचे एकूण डाउनलोड्स ५०० मिलियनपेक्षा जास्त आहेत, ज्यामुळे चिंतेत आणखी भर पडली आहे.
डेव्हलपर्सनाही मोठा धोका
हा धोका फक्त युझर्सपुरता मर्यादित नाही, तर डेव्हलपर्ससाठीही मोठी डोकेदुखी आहे. Gemini API चा वापर मोफत नाही. त्यामुळे, जर कोणी या कीजचा गैरवापर केला, तर डेव्हलपर्सना मोठं आर्थिक नुकसान होऊ शकतं. शिवाय, युझर्सचा डेटा लीक झाल्यास कायदेशीर अडचणींनाही सामोरं जावं लागू शकतं. ही समस्या सोडवण्यासाठी, CloudSEK ने काही उपाय सुचवले आहेत. जसं की, API कीज बदलणे, त्यांचा वापर मर्यादित करणे आणि त्यांना मोबाईल ॲप्समध्ये थेट हार्डकोड न करणे. तज्ज्ञांनी युझर्सनाही सावधगिरी बाळगण्याचा आणि फक्त विश्वसनीय प्लॅटफॉर्मवरच Gemini सेवा वापरण्याचा सल्ला दिला आहे.