Chaves de API embutidas em 22 aplicativos Android com um total de mais de 500 milh\u00f5es de usu\u00e1rios est\u00e3o proporcionando acesso n\u00e3o autorizado ao Gemini, a intelig\u00eancia artificial desenvolvida pelo Google.<\/p>\n
Pesquisadores da CloudSEK descobriram que credenciais p\u00fablicas, incorporadas nas aplica\u00e7\u00f5es por recomenda\u00e7\u00e3o do Google, passaram a autenticar nos servi\u00e7os de IA ap\u00f3s a ativa\u00e7\u00e3o do Gemini, tudo sem aviso pr\u00e9vio e sem que os desenvolvedores precisassem fazer qualquer ajuste.<\/p>\n
Qualquer indiv\u00edduo capaz de descompilar um APK, o arquivo de instala\u00e7\u00e3o do Android, pode extrair essas chaves. Essas chaves podem ser utilizadas para acessar dados armazenados na plataforma ou gerar cobran\u00e7as de milhares de d\u00f3lares por dia na conta do desenvolvedor.<\/p>\n Uma chave de API funciona como um identificador entre um aplicativo e um servi\u00e7o externo. Por exemplo, quando um aplicativo de mapas precisa carregar uma rota, ele envia essa chave para o servidor do Google junto com a solicita\u00e7\u00e3o.<\/p>\n O problema surge devido \u00e0 natureza dos arquivos de aplicativos Android. Os pacotes APK, que s\u00e3o baixados das lojas e instalados nos dispositivos, podem ser descompilados com ferramentas gratuitas digitalmente dispon\u00edveis. Basicamente, qualquer um pode reverter um aplicativo \u00e0 sua estrutura de c\u00f3digo original.<\/p>\n O problema tem origem na pr\u00f3pria documenta\u00e7\u00e3o oficial do Google, que orientava desenvolvedores a incorporar as chaves diretamente no c\u00f3digo dos aplicativos. Com as chaves de API sendo consideradas p\u00fablicas, estar vis\u00edvel nesses arquivos n\u00e3o era visto como um risco. No pior cen\u00e1rio, algu\u00e9m poderia apenas ver qual projeto Google estava por tr\u00e1s de determinado aplicativo. Essa l\u00f3gica deixou de ser v\u00e1lida em 2024.<\/p>\n Quando o Google ativou a API do Gemini no Google Cloud, as chaves de projeto existentes passaram a autenticar automaticamente nos novos endpoints de intelig\u00eancia artificial.<\/p>\n Uma chave criada em 2019 para exibir mapas agora pode dar acesso a modelos de linguagem, arquivos hospedados na plataforma de IA e servi\u00e7os de infer\u00eancia que geram custos. Isso aconteceu sem que o desenvolvedor tivesse sido notificado ou precisasse modificar qualquer configura\u00e7\u00e3o.<\/p>\n A firma de seguran\u00e7a Truffle Security foi a primeira a registrar essa situa\u00e7\u00e3o em larga escala, em fevereiro. Ao analisar milh\u00f5es de sites, encontrou quase 3.000 chaves do Google que passaram a autenticar no Gemini, apesar de nunca terem sido criadas para esse fim.<\/p>\n A Quokka, especializada em seguran\u00e7a mobile e anteriormente conhecida como Kryptowire, analisou 250.000 aplicativos Android, identificando mais de 35.000 chaves \u00fanicas expostas, presente em 39,5% dos apps avaliados.<\/p>\n A CloudSEK, por sua vez, mapeou 32 chaves embutidas diretamente em 22 aplicativos populares, que possuem uma base combinada de mais de 500 milh\u00f5es de usu\u00e1rios. Todas seguem o formato AIza\u2026, padr\u00e3o das chaves de projeto do Google Cloud.<\/p>\n O processo de explora\u00e7\u00e3o n\u00e3o requer habilidades t\u00e9cnicas avan\u00e7adas. Um atacante descompila o APK com qualquer ferramenta de c\u00f3digo aberto dispon\u00edvel, aplica uma express\u00e3o regular para identificar strings no formato das chaves do Google e testa a chave com uma \u00fanica chamada \u00e0 API do Gemini. Se receber uma resposta 200, a chave est\u00e1 ativa e com acesso ao servi\u00e7o de IA.<\/p>\n A partir da\u00ed, as possibilidades de abuso se dividem em tr\u00eas categorias principais. A primeira \u00e9 o acesso a dados: arquivos enviados ao Gemini pelo desenvolvedor, conte\u00fados armazenados e qualquer informa\u00e7\u00e3o processada pela plataforma ficam acess\u00edveis. Se o aplicativo faz upload de conte\u00fados dos usu\u00e1rios para a API, tais como imagens, documentos ou textos, esse material tamb\u00e9m pode ser acessado indiretamente.<\/p>\n A segunda categoria refere-se ao abuso financeiro. Chamadas automatizadas a infer\u00eancias a grandes modelos de linguagem esgotam rapidamente a cota dispon\u00edvel. Estima-se que o custo pode atingir milhares de d\u00f3lares diariamente em uma conta comprometida, com os encargos recaindo sobre o desenvolvedor.<\/p>\n A terceira \u00e9 a interrup\u00e7\u00e3o do servi\u00e7o, uma vez que esgotar a cota de API de um projeto impede que os sistemas leg\u00edtimos do desenvolvedor funcionem. Isso ocorre porque a cota \u00e9 por projeto, n\u00e3o por usu\u00e1rio.<\/p>\n Um aspecto preocupante do problema, ressaltado pela Quokka e pela CloudSEK, \u00e9 que os desenvolvedores n\u00e3o cometeram erros; eles seguiram as orienta\u00e7\u00f5es documentadas pelo pr\u00f3prio Google. As chaves foram incorporadas nos aplicativos porque essa era a abordagem recomendada, e permanecem nas vers\u00f5es subsequentes dos aplicativos porque ningu\u00e9m as removeu.<\/p>\n A escalada retroativa de privil\u00e9gios \u00e9 um dos elementos mais urgentes desta quest\u00e3o. Uma chave com permiss\u00f5es limitadas automaticamente ganha novos acessos quando o Google ativa servi\u00e7os recentes no projeto, sem necessidade de a\u00e7\u00e3o do desenvolvedor ou notifica\u00e7\u00e3o expl\u00edcita. Um atacante que extraiu uma chave de um APK publicado h\u00e1 dois anos pode acessar um endpoint de IA habilitado recentemente.<\/p>\n As chaves tamb\u00e9m s\u00e3o p\u00fablicas por design, uma vez que os APKs s\u00e3o distribu\u00eddos em lojas para que usu\u00e1rios possam baix\u00e1-los e instal\u00e1-los. N\u00e3o \u00e9 poss\u00edvel revogar o acesso a uma chave j\u00e1 distribu\u00edda sem rotacion\u00e1-la e publicar uma nova vers\u00e3o do aplicativo.<\/p>\n Uma remedia\u00e7\u00e3o imediata envolve auditar projetos no Google Cloud Console para identificar quais t\u00eam a Genetic Language API habilitada, verificar quais chaves nesses projetos s\u00e3o irrestritas ou possuem acesso ao Gemini, e rotacionar qualquer chave que apare\u00e7a no c\u00f3digo do cliente, reposit\u00f3rios p\u00fablicos ou APKs distribu\u00eddos.<\/p>\n A forma correta de autentica\u00e7\u00e3o para APIs sens\u00edveis \u00e9 utilizar chaves restritas por IP, por referrer HTTP ou com escopo espec\u00edfico de API, limitando o que cada chave pode fazer mesmo se comprometida. Outra alternativa \u00e9 migrar para fluxos OAuth 2.0, que autenticam o usu\u00e1rio sem expor uma credencial est\u00e1tica no c\u00f3digo do aplicativo.<\/p>\n Acompanhe o TecMania nas redes sociais. Para mais not\u00edcias de seguran\u00e7a e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.<\/p>\n Credenciais incorporadas por recomenda\u00e7\u00e3o do Google agora autenticam no Gemini ap\u00f3s ativa\u00e7\u00e3o da IA, expondo dados e riscos de cobran\u00e7as […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[12],"tags":[],"class_list":["post-502","post","type-post","status-publish","format-standard","hentry","category-seguranca"],"_links":{"self":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/502","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/comments?post=502"}],"version-history":[{"count":0,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/502\/revisions"}],"wp:attachment":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/media?parent=502"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/categories?post=502"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/tags?post=502"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Por que a chave API ficava exposta de prop\u00f3sito<\/h2>\n
Como o Gemini transformou chaves inofensivas em credenciais sens\u00edveis<\/h2>\n
O ataque n\u00e3o exige acesso \u00e0 infraestrutura da v\u00edtima<\/h2>\n
O que torna o problema estruturalmente dif\u00edcil de resolver<\/h2>\n
Como se proteger<\/h2>\n