由安全研究实验室CovertLabs主导的一项行动,正在持续揭露App Store中大量(绝大多数与AI相关)的应用,这些应用严重泄露并公开了数百万用户的隐私数据,包括姓名、邮箱、聊天记录等。以下是详细情况。
“这已经是灾难级别的严重程度”
正如X用户@vxunderground发现并指出,Firehound项目正在扫描并索引那些公开泄露敏感用户数据的应用。
@vxunderground是这样描述的:
这就是一场“垃圾应用末日”。
OSINT爱好者@Harrris0n创建了“Firehound”。他(或者其他人,我不清楚)已经开始执行一项艰巨任务:在苹果应用商店猎杀AI垃圾应用。
截至目前,他们已经确认了198款iOS应用存在不同程度的用户信息泄露。毫不意外,排名前列的全部都是AI相关应用。
在目前列出的198款应用中,有196款都在泄露用户数据。其中名为“Chat & Ask AI”的应用,在Firehound的“暴露文件最多”和“暴露记录最多”排行榜上高居榜首,已泄露超过18百万用户的4.06亿条记录。
除了在Firehound网站上列出之外,@Harris0n也在X上针对“Chat & Ask AI”的初步发现发表了评论:
Firehound上列出的大多数应用,都是因为数据库或云存储配置不当而导致数据暴露,很多条目甚至直接披露了底层数据结构和记录数量。
虽然大部分应用看似与AI相关,但受影响的应用类别还包括:
- 教育
- 娱乐
- 图形与设计
- 健康与健身
- 生活方式
- 社交网络
- 其他
Firehound对免费数据访问进行了限制,用户需要注册账号才能申请受限数据集和详细扫描结果:
部分扫描结果高度敏感。在我们能够负责任地审查和删减之前,无法全部公开。
这意味着
公开注册表是有意受限的。创建账号后,您可以申请访问受限数据集和视图。请求审核
访问请求将人工审核。优先处理记者、执法机构和安全专业人士的申请。登录后,您将在仪表板中提交访问请求。
虽然@vxunderground最初称Firehound在收录“AI Slop”(AI垃圾),但这一说法并未直接出现在@Harrris0n的X简介或Firehound官网上。
尽管许多应用看似与AI有关,但目前无法确切断言它们是否因“vibe coding”或其他AI辅助的自主开发工具而被快速推出。
无论如何,Firehound再次提醒用户:要谨慎选择使用的平台以及分享的信息(尤其是使用AI聊天机器人时);同时也提醒开发者:无论开发和上架应用的门槛有多低,都必须承担起妥善保护用户数据的责任。
想了解更多关于Firehound的信息,请点击此链接。
