Los investigadores probaron 444 aplicaciones de chatbot de IA para iPhone y descubrieron que 282 de ellas, casi dos tercios, exponían acceso pago a IA a través del tráfico de red.
En muchos casos, puede determinar la ruta simplemente monitoreando lo que envía su aplicación: una clave API de texto sin formato, un token reutilizable o un servidor backend que acepta la solicitud sin ninguna clave.
La persona que lo obtiene puede enviar una solicitud de modelo en la cuenta del desarrollador y el desarrollador paga la factura. Tres meses después de que los investigadores alertaran a los desarrolladores, sólo el 28% había solucionado el problema.
Este estudio realizado por investigadores de la Universidad Wake Forest es el primer estudio detallado del problema de iOS. Esto es impresionante, en parte porque el esfuerzo que implicaba espiar era muy bajo. El equipo utilizó una herramienta que ellos mismos crearon, LLMKeyLens, que monitorea el tráfico de aplicaciones y extrae credenciales a medida que pasa. No es necesario hacer jailbreak ni descifrar la aplicación.
La clave es el secreto que permite que su aplicación llame a servicios como OpenAI y Google Gemini. Si integra esto en su aplicación, quedará expuesto con cada solicitud que realice su aplicación.
Los 282 casos se clasificaron en uno de tres grupos:
Claves de texto sin formato (54 aplicaciones): las claves se envían de forma abierta y se pueden leer desde una única solicitud capturada. No se requieren claves (92 aplicaciones): la aplicación enruta las solicitudes a través de un servidor que responde a cualquier persona sin verificar quién hace la pregunta. Retransmisión abierta a cuentas de IA pagas. Tokens renovables (136 aplicaciones, las más comunes): las aplicaciones distribuyen tokens de acceso temporales en lugar de claves sin formato. Aunque este es un enfoque considerado más seguro, los tokens se filtraron dentro del mismo tráfico y, por lo general, todavía eran válidos en el momento en que fueron capturados. Algunos fueron más que temporales, como lo demuestran los casos siguientes.
Para 28 de las 54 aplicaciones clave de texto sin formato, la misma solicitud también expuso las indicaciones ocultas del sistema de las aplicaciones, instrucciones detrás de escena que definen cómo se comporta el asistente y cómo funciona el producto. Una captura, dos premios.
La infracción afectó al menos a 10 proveedores de inteligencia artificial, siendo el más común OpenAI, y abarcó 13 categorías de aplicaciones. Las aplicaciones de productividad fueron el grupo más grande. Las aplicaciones de salud y fitness tuvieron la tasa de infracción más alta. En particular, no se filtró nada de aplicaciones financieras y médicas. La mayoría de las aplicaciones afectadas eran pequeñas, pero no todas. Uno de ellos tenía más de 2 millones de valoraciones de usuarios.
Esto no es dinero teórico. Las claves de IA robadas facilitan una práctica conocida en la industria como jacking LLM, donde un atacante ejecuta la clave de otra persona para obtener acceso gratuito al modelo. Sysdig ha calculado que en el peor de los casos, si le roban sus credenciales, sus costos de IA podrían exceder los $46,000 por día.
Los investigadores notificaron a los 282 desarrolladores y esperaron tres meses. Sólo el 28% eran claramente corregibles.
El 23% restante todavía estaba muy abierto. El acceso filtrado estaba funcionando. El resto eran errores fuera de línea, inaccesibles o que regresaban. Las aplicaciones de tokens eran a menudo las peores. Una aplicación popular con más de 100.000 calificaciones tenía tokens de acceso que caducaban en 2125 años, o 100 años.
El token de 1 hora de otra aplicación seguía funcionando 128 días después de su vencimiento.
Esta solución es un viejo consejo que la mayoría de la gente no siguió. No pongas la clave en la aplicación. Enruta las llamadas de IA a través de sus propios servidores, hace que esos servidores verifiquen quién llama y revoca las claves que ya han sido comprometidas.
Los investigadores también están pidiendo a los proveedores de inteligencia artificial que etiqueten las claves del lado del cliente como inseguras en su documentación y marquen las claves que se utilizan repentinamente en miles de dispositivos, y esperan que Apple examine esto durante su revisión de la App Store.
El patrón me resulta familiar. Un estudio de 2025 realizado por LM-Scout encontró un cableado de IA inseguro similar en aplicaciones de Android, penetrando automáticamente en 120 de ellas. Una auditoría importante, Leaky Apps, extrajo información secreta de miles de aplicaciones de Android e iOS y descubrió que las revocaciones de claves fallaban rutinariamente, dejando las claves antiguas vivas incluso después de que los desarrolladores las eliminaran.
Otras empresas están investigando agujeros similares en el ecosistema más amplio de aplicaciones LLM. Incluso con la fiebre de la IA, ese hábito no ha cambiado. Ahora cobramos tokens por las claves filtradas, lo que aumenta el monto cobrado.
Hay una advertencia. El número de dos tercios es el piso. Es probable que el porcentaje real sea aún mayor, ya que muchas aplicaciones bloquean completamente la interceptación y este estudio solo cubrió la App Store de EE. UU. a finales de 2025.
Source link
