Den Ausgangspunkt bildete eine Untersuchung von Truffle Security: Das Unternehmen durchsuchte nach eigenen Angaben Millionen von Websites und stieß dabei auf rund 3.000 Google-API-Schlüssel, die sich mittlerweile auch gegenüber Gemini authentifizieren – obwohl sie dafür nie vorgesehen waren. Mit einem gültigen Schlüssel könne ein Angreifer auf hochgeladene Dateien und zwischengespeicherte Daten zugreifen sowie die Kosten für die Nutzung des Sprachmodells dem Konto des Betreibers anlasten, erklärte Truffle.

Die Mobile-Security-Firma Quokka, früher unter dem Namen Kryptowire bekannt, stieß bei weiteren Analysen auf mehr als 35.000 einzelne Schlüssel in 250.000 Android-Apps. Weil sich Android-Anwendungen leicht entpacken und inspizieren ließen, sei das Extrahieren der Schlüssel mit minimalem technischem Aufwand und automatisiert in großem Umfang möglich, so Quokka. Was früher ein geringes Risiko durch reine Sichtbarkeit gewesen sei, habe sich still und leise in eine ernstzunehmende Angriffsfläche verwandelt.

CloudSEK konkretisierte den Befund nun für 22 populäre Apps: 32 dort fest hinterlegte Google-API-Schlüssel im Format „AIza…" ermöglichen unbefugten Zugang zu Gemini. Laut CloudSEK lässt sich das für eine nachträgliche Rechteausweitung missbrauchen: Ein Schlüssel, den ein Entwickler erstellt und in seine App einbettet, verschafft Zugriff auf sämtliche Gemini-Endpunkte, sobald die KI im Projekt aktiviert ist.

Dies geschehe automatisch und ohne Wissen des Entwicklers. Wer den Schlüssel aus einer dekompilierten App extrahieren kann, verfügt damit über eine funktionierende Gemini-Zugangsberechtigung. Damit ließen sich private Dateien und zwischengespeicherte Inhalte einsehen, beliebige Gemini-API-Aufrufe absetzen, API-Kontingente erschöpfen und legitime Dienste stören sowie alle im Gemini-Dateispeicher abgelegten Daten abrufen – darunter Dokumente, Bilder und weitere sensible Informationen.

Fest einprogrammierte Google-API-Schlüssel vergrößern die Angriffsfläche erheblich: Die App-Pakete sind von vornherein öffentlich, und die Schlüssel bleiben über Versionswechsel hinweg erhalten. Hinzu kommt, dass die Schlüssel nicht versehentlich, sondern auf Grundlage von Googles eigenen Dokumentationsempfehlungen eingebettet werden.

Neu und besonders dringlich sei, betont CloudSEK, dass eine Klasse von Schlüsseln, die bisher als harmlose öffentliche Kennungen galten, klammheimlich zu sensiblen KI-Zugangsdaten aufgewertet worden sei.