Centinaia di app iOS con intelligenza artificiale espongono credenziali sensibili
Introduzione non tecnica
Molti sviluppatori stanno integrando funzioni di intelligenza artificiale in app per la scrittura, la produttività e la vita quotidiana. Tuttavia, un recente studio mostra che la sicurezza di questi servizi è spesso carente: credenziali e chiavi di accesso vengono inviate in modo non protetto, rendendo possibili furti di dati e accessi non autorizzati. Per gli utenti, la soluzione più immediata è aggiornare sempre le app, utilizzare solo applicazioni da fonti ufficiali e prestare attenzione a permessi e richieste di accesso sospetti. Per gli sviluppatori, è fondamentale adottare pratiche di sicurezza robuste, come l’uso di backend sicuri, l’uso di token temporanei e la crittografia del traffico.
Cosa è successo
Ricercatori di un’università statunitense hanno analizzato 444 applicazioni iOS dotate di funzionalità basate su modelli linguistici di grandi dimensioni (LLM, Large Language Models). Tra queste, 282 hanno mostrato evidenti vulnerabilità legate alla gestione delle credenziali e dell’accesso ai servizi di intelligenza artificiale. Ciò significa che circa il 64% delle app analizzate espongono informazioni che potrebbero essere sfruttate da attaccanti.
Le app vulnerabili appartengono a 13 categorie diverse, tra cui produttività, intrattenimento, lifestyle, educazione, utilità e salute e fitness. In totale, le applicazioni con funzionalità di intelligenza artificiale hanno raggiunto circa 17 miliardi di download nel 2025 e rappresentano il 13% di tutti i download di app mobili. Questo numero enorme di utenti rende il problema particolarmente preoccupante.
Tipi di vulnerabilità riscontrate
Tra le 282 app vulnerabili, i ricercatori hanno identificato tre principali tipi di problemi:
- Credenziali esposte in chiaro: 54 applicazioni inviavano chiavi API in testo normale, facilmente intercettabili da chiunque monitori il traffico di rete.
- Token di autenticazione compromessi: 136 applicazioni utilizzavano token di autenticazione che potevano essere estratti e riutilizzati per accedere a servizi backend.
- Accesso backend non autenticato: 92 applicazioni permettevano l’accesso a backend senza autenticazione adeguata, consentendo a un attaccante di interagire direttamente con i servizi dietro le quinte.
In 28 casi, le app espongono anche i prompt di sistema utilizzati dal servizio di intelligenza artificiale, rivelando dettagli su come il modello viene istruito e come vengono gestiti i dati degli utenti.
Impatto sulle categorie di app
Le categorie più colpite sono state quelle legate alla produttività, seguite da intrattenimento e lifestyle. Tuttavia, il tasso di esposizione più alto è stato registrato nella categoria salute e fitness, dove le informazioni personali degli utenti sono particolarmente sensibili.
Il gruppo più numeroso di app vulnerabili utilizza backend sviluppati e gestiti direttamente dagli sviluppatori. I ricercatori hanno identificato 155 app in questa categoria. Altre 67 utilizzano piattaforme cloud come Firebase, Google Cloud Run e AWS, mentre 60 comunicano direttamente con i fornitori di servizi di intelligenza artificiale.
Risposte e rimedi
I ricercatori hanno segnalato i problemi ai 282 sviluppatori coinvolti, fornendo loro indicazioni su come correggere le vulnerabilità. Dopo 90 giorni, le app sono state nuovamente testate per verificare i miglioramenti.
I risultati mostrano che il 28% delle app vulnerabili ha implementato correttamente misure correttive, come la revoca delle credenziali compromesse o l’introduzione di controlli di accesso più rigorosi. Tuttavia, il 23% delle app rimane ancora esposta, per due motivi principali: assenza di azioni correttive (36 applicazioni) o implementazioni di autenticazione fondamentalmente difettose (30 applicazioni).
Consigli per gli utenti
Gli utenti possono adottare alcune semplici misure per ridurre il rischio:
- Aggiornare regolarmente le app per beneficiare delle patch di sicurezza.
- Utilizzare solo store ufficiali come l’App Store, evitando download da fonti non verificate.
- Controllare i permessi richiesti dalle app e disattivare quelli non necessari.
- Evitare di inserire dati sensibili in app che non sembrano affidabili o che richiedono eccessivi permessi.
- Monitorare i propri account per attività sospette e utilizzare l’autenticazione a due fattori quando possibile.
Consigli per gli sviluppatori
Per gli sviluppatori, la lezione è chiara: la sicurezza non deve essere un afterthought. Alcune buone pratiche includono:
- Non hardcodare chiavi API nel codice dell’app; utilizzare backend sicuri per gestire l’accesso ai servizi.
- Utilizzare token temporanei e rinnovabili invece di chiavi permanenti.
- Critografare il traffico di rete con protocolli moderni come TLS 1.3.
- Implementare controlli di accesso rigorosi per garantire che solo gli utenti autorizzati possano interagire con i servizi backend.
- Effettuare regolarmente test di sicurezza e audit del codice per identificare e correggere vulnerabilità prima che possano essere sfruttate.
Technical Deep Dive
Per gli sviluppatori e i tecnici, è importante comprendere nel dettaglio come le vulnerabilità sono state individuate e come possono essere mitigate.
La metodologia di analisi ha incluso l’intercettazione del traffico di rete generato dalle app durante l’uso normale. Questo ha permesso di osservare come le credenziali e i token vengono trasmessi tra l’app e i server backend. In molti casi, le chiavi API erano inviate in testo normale, senza crittografia, o erano facilmente estratte da risposte HTTP.
Le app che utilizzano backend personalizzati spesso hanno implementato meccanismi di autenticazione deboli, come l’uso di token fissi o l’assenza di verifiche di autorizzazione. Le piattaforme cloud, sebbene forniscono strumenti di sicurezza avanzati, non sono immuni a errori di configurazione che possono portare a esposizioni di credenziali.
Per mitigare questi problemi, è consigliabile adottare un’architettura che separa chiaramente il client dall’accesso diretto ai servizi di intelligenza artificiale. Il client dovrebbe comunicare con un backend gestito dallo sviluppatore, che a sua volta gestisce l’accesso ai servizi esterni. Questo approccio consente di centralizzare la gestione delle credenziali e di applicare politiche di sicurezza più rigorose.
Inoltre, è essenziale implementare logging e monitoraggio per rilevare attività anomale, come tentativi di accesso non autorizzati o uso eccessivo delle API. Strumenti di sicurezza avanzati, come firewall applicativi e sistemi di rilevamento delle intrusioni, possono aiutare a proteggere i backend da attacchi automatizzati.
In sintesi, la sicurezza delle app con intelligenza artificiale richiede un approccio proattivo e multilivello, che coinvolge sia la progettazione dell’architettura che le pratiche di sviluppo quotidiane.
Fonte: https://www.helpnetsecurity.com/2026/06/22/llm-api-credential-leakage-ios-apps/
