iPhone AI 应用泄露用户成人内容

伊森 Z

本人专注网络安全，在终端安全以及数据安全行业积累10+年经验，一直专注于安全的整体方案规划及服务建设，从非结构化数据安全到结构化数据的安全有一定的理解和认识，涉及到的能力范围有DLP、DAP、DCAP、DSG。欢迎一起交流探讨。

0286

对于注重隐私的人而言，在线生成成人内容通常不是明智之举。例如，苹果应用商店的”Novel AI: Book Creator”因Firebase数据库配置错误导致数据泄露，显示用户生成的内容远不止普通鬼故事那么简单。

“Novel AI: Book Creator”用户生成故事及其他个人数据遭泄露，部分泄露故事涉及少儿不宜内容，攻击者可利用泄露信息进行性勒索和敲诈，Cybernews已联系应用开发者但未获回复。我们用户往往对应用开发者及其隐私保护能力过度信任。以iOS应用”Novel AI: Book Creator”为例，Cybernews研究团队发现该应用因安全规则配置错误导致用户数据泄露。

这款在美国应用商店拥有近2000条评分的应用，允许用户通过人工智能(AI)生成故事。然而安全配置错误使这些故事处于公开可访问状态。此外，用户与客服的互动记录及邮箱地址也遭曝光。

唯一值得庆幸的是，AI提示词本身已匿名化处理，这意味着攻击者只能识别同一用户生成的多篇故事，但无法获取相关个人信息。换句话说，攻击者需要付出更多努力才能确定故事来源。

令人担忧的是，尽管多次尝试联系开发者，该数据库已持续公开访问超过一个月。我们已联系”Novel AI: Book Creator”开发团队寻求置评，收到回复后将更新报道。

“泄露数据包括用户与客服的沟通记录、邮箱等个人身份信息，以及用户生成的各类故事。部分用户生成内容涉及成人题材。”Cybernews信息安全研究员Aras Nazarovas指出。

iOS应用具体泄露哪些数据？数据通过Firebase数据库泄露，该数据库作为临时存储区，在数据量达到阈值后会同步至永久存储系统。研究团队发现泄露的数据库包含：用户与客服的互动记录，用户邮箱地址以及用户借助AI生成的故事。

如前所述，用户故事仅关联用户ID而非真实姓名，但攻击者仍可进行关联匹配。研究人员表示，若用户曾在应用中提交反馈或客服咨询，攻击者即可确定特定故事的创建者。

研究团队特别指出，鉴于部分故事包含大量性内容，有些用户可能非常不愿让人知晓其使用过某些特定AI提示词。

Nazarovas解释：”此类内容的泄露风险极高，可能暴露令人尴尬或社会难以接受的个人偏好，攻击者可利用这些信息进行勒索或性胁迫。”

研究团队认为，攻击者可利用该漏洞设置数据抓取程序，持续从暴露的Firebase数据库中下载敏感信息。此外，网络犯罪分子还能实时获取新的AI提示词提交记录、客服咨询记录（含邮箱地址）等数据。

调查期间，该Firebase数据库已泄露约400封含邮箱地址的客服邮件，以及55,000篇用户生成故事。但考虑到Firebase作为临时数据库的特性，实际存储数据量可能远高于此。

泄露的Firebase数据库不仅暴露用户隐私数据，还公开了应用客户端的多项机密信息，包括：API密钥、客户端ID、数据库URL、Google应用ID、项目ID、反向客户端ID、存储桶、Facebook应用ID、Facebook客户端令牌。API密钥和数据库URL的公开会显著提升安全风险。攻击者可反编译应用，利用泄露凭证访问后端服务，绕过应用安全控制，导致非授权数据访问、账户劫持乃至完整数据库泄露等问题。

此外，API密钥通常具有广泛权限，攻击者可借此篡改或窃取用户敏感数据。而Facebook应用ID等社交媒体凭证则可能被用于实施仿冒攻击。

研究人员建议分别针对Firebase实例和硬编码密钥采取修复措施。针对Firebase相关问题，建议：制定适当的Firebase安全规则，确保只有经授权的认证用户和服务能访问存储数据。研究人员表示。”该应用使用的Firebase实例处于公开可访问状态，攻击者可实时连接数据库并抓取数据，获取包括用户客服沟通记录和AI提示词在内的所有操作信息。”

为防止应用密钥落入不法分子之手，建议：将敏感密钥从应用客户端移除，转存至服务器端，通过自有基础设施代理应用与第三方服务的通信。Nazarovas解释称。”硬编码密钥使攻击者可枚举应用使用的基础设施。若存在认证密钥，攻击者还可能滥用相关服务窃取用户数据，或将服务用于非授权用途。”

“Novel AI: Book Creator”远非首个存在密钥泄露问题的iOS应用。研究团队近期发现多款应用存在严重安全隐患。例如，多个BDSM、LGBTQ+和sugar dating应用被曝泄露用户私密照片，部分甚至泄露私聊信息中的图片。

其他案例中，用于追踪家人行踪或秘密存储敏感数据的应用也被发现存在大规模数据泄露。

最新泄露事件是在大规模调查中发现的——Cybernews研究人员下载了156,000个iOS应用（约占苹果商店应用的8%），发现开发者普遍在应用代码中明文存储密钥凭证。

调查结果显示，71%的被分析应用至少泄露一个密钥，平均每个应用代码暴露5.2个密钥。

消息来源：cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

文章版权归原作者所有，转摘请注明出处。文章内容仅代表作者独立观点，不代表安全壹壹肆&安全114的立场，转载目的在于传递网络空间安全讯息。部分素材来源于网络，如有侵权请联系首页管理员删除。

THE END