Un effort mené par le laboratoire de recherche en sécurité CovertLabs met actuellement au jour de nombreuses applications liées à l’intelligence artificielle sur l’App Store qui fuient et exposent les données des utilisateurs, notamment les noms, les adresses e-mail et l’historique des conversations.
Un constat alarmant
Repéré par l’utilisateur @vxunderground sur X, le projet Firehound firehound.covertlabs.io cherche à scanner et indexer les applications qui exposent des données sensibles des utilisateurs.
Comme l’explique @vxunderground, « C’est une slopocalypse. » OSINT nerd @Harrris0n a créé Firehound et a identifié, à l’heure actuelle, 198 applications iOS qui exposent des informations utilisateurs à divers niveaux.
Les chiffres parlent d’eux-mêmes
Parmi les 198 applications répertoriées jusqu’à présent, 196 fuient des données utilisateur. L’application “Chat & Ask AI” domine le classement de Firehound en termes de « fichiers exposés » et de « données enregistrées exposées », avec plus de 406 millions de données provenant de plus de 18 millions d’utilisateurs.
Alerte sur vos données
Dans un post sur X, @Harris0n a averti :
‼️ ARRÊTEZ D’UTILISER CETTE APPLICATION IMMÉDIATEMENT. Lors d’un scan de sécurité, j’ai découvert une vulnérabilité critique dans l’application « Chat & Ask AI » qui expose l’intégralité de l’historique des conversations de plus de 18 millions d’utilisateurs – soit 380 millions de messages, entièrement accessibles à quiconque sait où chercher.
Les implications
La plupart des applications identifiées sur Firehound exposent leurs données via des bases de données ou des stockages cloud mal sécurisés, et de nombreuses annonces divulguent les schémas de données sous-jacents et les comptes d’enregistrements. Bien que la majorité des applications semblent être liées à l’IA, les catégories d’applications touchées incluent également :
- Éducation
- Divertissement
- Graphisme & Design
- Santé & Fitness
- Mode de Vie
- Réseautage Social
- Autres
Firehound limite l’accès gratuit aux données et exige que les utilisateurs s’inscrivent pour demander l’accès à des ensembles de données restreints et aux résultats de scan détaillés. Les résultats de scan sont parfois hautement sensibles. Ainsi, l’accès est restreint jusqu’à ce qu’ils puissent être examinés et retouchés de manière responsable.
Malgré la revendication initiale de @vxunderground selon laquelle Firehound cataloguerait « AI Slop », cette information n’est pas explicite sur le profil X de @Harris0n, ni sur le site de Firehound. Alors que de nombreuses applications semblent liées à l’IA, il est pour l’instant impossible d’affirmer avec certitude si elles ont été lancées à la suite de codes thématiques ou d’autres outils de développement autonome assistés par IA.
Firehound nous rappelle ainsi que les utilisateurs doivent être vigilants concernant les plateformes qu’ils utilisent et les informations qu’ils partagent, notamment en ce qui concerne les chatbots IA, et que les développeurs doivent assumer la responsabilité de sécuriser correctement les données utilisateurs, peu importe la facilité à développer et à publier une application.
