As chaves do Google Maps/Cloud API (Interface de Programação de Aplicações) que antes eram seguras para publicação agora podem, em muitos casos, ser usadas como credenciais reais da Gemini AI. Isso significa que qualquer chave presente em JavaScript público ou código de aplicação agora pode permitir que invasores se conectem à Gemini através da sua API, acessem dados ou aumentem a conta de outra pessoa.
Os investigadores encontraram cerca de 2.800 chaves API do Google ativas em código público que podem ser autenticadas no Gemini, incluindo chaves pertencentes a grandes empresas financeiras, de segurança, de recrutamento e até mesmo do próprio Google.
Historicamente, as chaves API do Google Cloud para serviços como Maps, YouTube , Firebase, etc., eram tratadas como identificadores de faturação não secretos, e as próprias orientações da Google permitiam a sua incorporação no código do lado do cliente.
Se compararmos esta questão com a reutilização da sua palavra-passe em diferentes sites e plataformas, vemos que o uso de um único identificador pode tornar-se uma chave mestra para ativos mais valiosos do que os utilizadores ou programadores jamais imaginaram.
A principal diferença está na responsabilidade. No caso da reutilização de palavras-passe, os utilizadores finais são explicitamente avisados. Todos os serviços recomendam que escolham palavras-passe únicas, e a comunidade de segurança vem martelando essa mensagem há anos. Se a mesma palavra-passe for reutilizada em três sites e uma violação comprometer todos eles, o risco advém de uma decisão do utilizador, mesmo que essa decisão tenha sido motivada pela conveniência.
Com as chaves API do Google, os programadores e as equipas de segurança seguiam as orientações históricas do próprio Google de que essas chaves eram apenas identificadores de faturação seguros para exposição do lado do cliente. Quando o Gemini foi ativado, essas chaves API antigas passaram a funcionar repentinamente como credenciais de autenticação reais.
Do ponto de vista de um invasor, a reutilização de senhas significa que é possível pegar uma credencial roubada de um site vulnerável e reutilizá-la em contas de e-mail, bancárias ou na nuvem usando o credential stuffing. A mudança do Gemini significa que uma chave originalmente considerada por todos como "apenas para o Maps" agora funciona em um endpoint de IA que pode estar conectado a documentos, calendários ou outros fluxos de trabalho confidenciais. Ela também pode ser usada indevidamente para esgotar o orçamento de nuvem de alguém em grande escala.
Como se manter seguro
A diferença com este caso de reutilização efetiva de senhas é que, desta vez, ela foi incorporada ao design, em vez de escolhida pelos utilizadores.
O problema principal é que o Google usa um único formato de chave API para dois fins fundamentalmente diferentes: identificação pública e autenticação confidencial. A API Gemini herdou uma arquitetura de gestão de chaves criada para um fim diferente.
Os investigadores afirmam que a Google reconheceu o problema que relataram e tomou medidas significativas, mas ainda não corrigiu a causa principal.
Conselhos para programadores
Os programadores devem verificar se a Gemini (API de linguagem generativa) está ativada nos seus projetos e auditar todas as chaves API no seu ambiente para determinar se alguma delas está exposta publicamente e substituí-las imediatamente.
- Verifique todos os projetos do Google Cloud Platform (GC) para a API Generative Language. Aceda à consola do GCP, navegue até APIs e serviços > APIs e serviços ativados e procure a API Generative Language. Faça isso para todos os projetos da sua organização. Se não estiver ativada, não será afetado por este problema específico.
- Se a API de linguagem generativa estiver ativada, audite as suas chaves de API. Navegue até APIs e serviços > Credenciais. Verifique a configuração de cada chave API. Existem dois tipos de chaves:
- Chaves que apresentam um ícone de aviso, o que significa que estão definidas como irrestritas
- Chaves que listam explicitamente a API Generative Language nos seus serviços permitidos
Qualquer uma das configurações permite que a chave aceda ao Gemini.
- Verifique se nenhuma dessas chaves é pública. Este é um passo crítico. Se encontrar uma chave com acesso ao Gemini incorporada no JavaScript do lado do cliente, registada num repositório público ou exposta online de outra forma, tem um problema. Comece pelas chaves mais antigas. Essas são as mais prováveis de terem sido implementadas publicamente sob a orientação antiga de que as chaves API são seguras para partilhar e, em seguida, ganharam retroativamente privilégios Gemini quando alguém da sua equipa ativou a API. Se encontrar uma chave exposta, substitua-a.
Conselhos para indivíduos
Para utilizadores regulares, trata-se menos de gestão de chaves e mais de manter a sua conta Google bloqueada e ser cauteloso quanto ao acesso de terceiros.
- Ligue o Gemini apenas a contas ou armazenamentos de dados (Drive, Mail, Calendário, sistemas empresariais) que você se sinta confortável em disponibilizar por meio de API e revise regularmente quais integrações e aplicativos de terceiros têm acesso à sua conta do Google.
- Ao avaliar aplicações que integram o Gemini (extensões de navegador, ferramentas SaaS, aplicações móveis), dê preferência àquelas que fazem chamadas Gemini a partir do seu backend, em vez de diretamente do seu navegador.
- Se utilizar o Gemini através de um projeto do Google Cloud (por exemplo, se for um utilizador avançado ou o utilizar para o trabalho), monitore os relatórios de faturação e os registos de utilização do GCP para verificar se há atividades incomuns no Gemini, especialmente picos que não correspondam à sua própria utilização.
Não nos limitamos a informar sobre a privacidade - oferecemos-lhe a opção de a utilizar.
Os riscos para Privacy nunca devem ir além de uma manchete. Mantenha a sua privacidade online utilizando o Malwarebytes Privacy VPN.
