This post is also available in:
English (אנגלית)
עוזרי בינה מלאכותית הפכו לחלק מרכזי בחיי היומיום שלנו בשנת 2025, וכעת, אפליקציה פופולרית אחת, Perplexity AI, חשפה חולשות אבטחת סייבר רציניות ומדאיגות. חקירת אבטחה שנערכה לאחרונה חשפה מגוון של פרצות באפליקציית האנדרואיד שלה, שעלולות לסכן משתמשים בגניבת זהות, פריצה לנתונים והשתלטות מלאה על חשבונות.
הממצאים, שהתגלו על ידי חוקרי אבטחה ב-Appknox, חושפים שורה של פגמים מטלטלים בקוד של האפליקציה, העלולים להשאיר מידע פרטי חשוף בפני תוקפים. בין הבעיות הקריטיות ביותר היא מפתחות API שהיו Hardcoded. מפתחות אלה, המוטמעים ישירות בקוד של האפליקציה, יכולים להיות נגישים בקלות על ידי כל מי שיש לו ידע בסיסי על איך לעשות דה-קומפלציה לאפליקציות אנדרואיד. ברגע שהם נמצאים בידיים הלא נכונות, מפתחות אלה יכולים לאפשר גישה לא מורשית לשירותים ב-Backend, מה שיאפשר לתוקפים להדליף או לבצע מניפולציה של נתוני משתמשים.
מה שמסבך עוד יותר את העניינים, היא שה-API מקונפג כך שכל אתר, זדוני או לא, יכול לשלוח בקשות למערכות ב-backend של האפליקציה, ובכך לסלול את הדרך למתקפות.
והבעיות האבטחתיות לא עוצרות שם. אין SSL Pinning, מה שאומר שתוקפים יכולים ליירט תקשורת בין האפליקציה לשרתים שלה, להשיג גישה להיסטוריות החיפוש של המשתמשים, נתוני התחברות ומידע אישי אחר. הBytecode של האפליקציה חשוף גם הוא, כך שניתן לעשות לה reverse engineering.
לבסוף, החוקרים מצאו כי ל-Perplexity אין הגנה מפני כלי איתור באגים או ניצול לרעה של מפתחים, מה שמאפשר לתוקפים לנתח את פעולתה הפנימית של האפליקציה בסביבה מבוקרת. משמעות הדבר היא שניתן לגלות חולשות ולנצל אותן בקלות.
בהשוואה למודל Deepseek, עוד מודל ש-Appknox דיווחו שרווי בפערי אבטחה, ל- Perplexityיש יותר נקודות תורפה באופן כללי. בעוד ששתי המערכות חולקות חולשות מסוימות, הבעיות של Perplexity עלולות להפוך אותה למטרה גדולה יותר עבור עברייני סייבר.
משתמשים צריכים לשמור כמה שניתן על הבטיחות שלהם ברשת, במיוחד למול פלטפורמות המטפלות במידע רגיש. כמו כן, ישנו צורך בפעולה מיידית כדי לטפל בפגמים האבטחה הבולטים הללו.
