sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Copa do Mundo tem confronto entre Espanha e Bélgica nesta sexta-feira
10 de julho de 2026
JBL Flip Essential 3 SE é lançada no Brasil com bateria para 12 horas
10 de julho de 2026
Stellantis usará sistema híbrido chinês em carros nacionais flex; Peugeot vira marca de nicho
10 de julho de 2026
Mulher é morta a facadas em apartamento no Cambuí; amigo da família é suspeito
10 de julho de 2026
sexta-feira, julho 10, 2026
Top Posts
Copa do Mundo tem confronto entre Espanha e...
JBL Flip Essential 3 SE é lançada no...
Stellantis usará sistema híbrido chinês em carros nacionais...
Mulher é morta a facadas em apartamento no...
Incêndio atinge depósito de sucata em Bragança Paulista...
Vacinas contra covid-19 serão atualizadas contra novas variantes
GitLost: a falha do GitHub que expõe empresas...
Carga de R$ 4 milhões é roubada após...
Horizon Forbidden West e mais games de PS5...
Chances do El Niño ser “muito forte” no...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Copa do Mundo tem confronto entre Espanha e Bélgica nesta sexta-feira
10 de julho de 2026
JBL Flip Essential 3 SE é lançada no Brasil com bateria para 12 horas
10 de julho de 2026
Stellantis usará sistema híbrido chinês em carros nacionais flex; Peugeot vira marca de nicho
10 de julho de 2026
Mulher é morta a facadas em apartamento no Cambuí; amigo da família é suspeito
10 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Copa do Mundo tem confronto entre Espanha e Bélgica nesta sexta-feira
10 de julho de 2026
JBL Flip Essential 3 SE é lançada no Brasil com bateria para 12 horas
10 de julho de 2026
Stellantis usará sistema híbrido chinês em carros nacionais flex; Peugeot vira marca de nicho
10 de julho de 2026
Mulher é morta a facadas em apartamento no Cambuí; amigo da família é suspeito
10 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Chaves API encontradas em aplicativos Android expõem Gemini a criminosos

por SampaNews 10 de abril de 2026
10 de abril de 2026
43

Chaves de API incorporadas em 22 aplicativos Android com mais de 500 milhões de usuários combinados estão dando acesso não autorizado ao Gemini, a inteligência artificial do Google. 

Pesquisadores da CloudSEK descobriram que credenciais públicas embutidas nos apps, por recomendação da empresa, passaram a autenticar nos serviços de IA da companhia após a ativação do Gemini. Tudo isso sem aviso e sem que os desenvolvedores precisassem alterar nada. 

smart_display

Nossos vídeos em destaque

Qualquer pessoa capaz de descompilar um APK, o arquivo de instalação de apps Android, pode extrair essas chaves. Por sua vez, as chaves podem ser usadas para acessar dados armazenados na plataforma ou gerar cobranças de milhares de dólares por dia na conta do desenvolvedor.

A ativação do Gemini em projetos do Google Cloud transformou chaves públicas em credenciais de acesso à IA.

Por que a chave API ficava exposta de propósito

Uma chave de API funciona como um crachá de identificação entre um aplicativo e um serviço externo. Quando um app de mapas precisa carregar uma rota, por exemplo, ele envia essa chave para o servidor do Google junto com a solicitação.

O servidor identifica qual projeto está fazendo o pedido, registra o uso e cobra do desenvolvedor quando aplicável.

O problema começa pela natureza dos arquivos de aplicativos Android. Os pacotes APK, que são baixados das lojas e instalados nos dispositivos, podem ser descompilados com ferramentas gratuitas e amplamente disponíveis. Basicamente, qualquer pessoa pode reverter um app à sua estrutura de código original.

Google Android logo.jpg
O problema tem origem na própria documentação oficial do Google, que orientava desenvolvedores a incorporar as chaves diretamente no código dos aplicativos.

Como as chaves de API eram consideradas públicas por design, estar visível nesses arquivos não era um risco. No pior caso, alguém poderia ver qual projeto Google estava por trás de um determinado app. Esse raciocínio deixou de funcionar em 2024.

Como o Gemini transformou chaves inofensivas em credenciais sensíveis

Quando o Google habilitou a API do Gemini dentro do Google Cloud, as chaves de projeto existentes passaram a autenticar automaticamente nos novos endpoints de inteligência artificial.

Uma chave criada em 2019 para exibir mapas agora pode dar acesso a modelos de linguagem, arquivos armazenados na plataforma de IA e recursos de inferência faturáveis. Isso sem que o desenvolvedor tenha sido notificado ou precisado alterar qualquer configuração.

ilustracao-de-vazamento-de-dados
A falha permite escalada retroativa de privilégios: chaves criadas anos atrás passam a dar acesso a endpoints de IA sem qualquer alteração de configuração.

A firma de segurança Truffle Security foi a primeira a documentar o fenômeno em escala, em fevereiro. Ao varrer milhões de sites, encontrou quase 3.000 chaves Google que passaram a autenticar no Gemini apesar de nunca terem sido criadas para isso. 

A Quokka, empresa especializada em segurança mobile anteriormente conhecida como Kryptowire, analisou 250.000 aplicativos Android. A partir disso, a empresa identificou mais de 35.000 chaves únicas expostas, presentes em 39,5% dos apps da amostra.

A descoberta mais recente veio da CloudSEK, que mapeou 32 chaves incorporadas diretamente no código, em 22 aplicativos populares, com base de usuários combinada superior a 500 milhões. Todas seguem o formato AIza…, padrão das chaves de projeto do Google Cloud.

icone-do-tiktok-em-tela-de-smartphone-ao-lado-de-aplicativos-como-facebook-messenger-e-youtube
Apps populares com centenas de milhões de usuários estão entre os afetados pela exposição de chaves de API do Google.

O ataque não exige acesso à infraestrutura da vítima

O processo de exploração não requer habilidade técnica avançada. Um atacante descompila o APK com qualquer ferramenta de código aberto disponível, aplica uma expressão regular, basicamente um padrão de busca. Isso é feito para identificar strings no formato das chaves Google, e testa a chave com uma única chamada à API do Gemini. Se receber resposta 200 em vez de erro 403, a chave está ativa e com acesso ao serviço de IA.

A partir daí, as possibilidades de abuso se dividem em três categorias principais. A primeira é o acesso a dados: arquivos enviados ao Gemini pelo desenvolvedor, conteúdo em cache e qualquer dado processado pela plataforma ficam acessíveis. Se o aplicativo faz upload de conteúdo dos usuários para a API, incluindo imagens, documentos, texto, esse material também pode ser alcançado indiretamente.

A segunda é o abuso financeiro. Chamadas automatizadas de inferência a modelos de linguagem grandes consomem cota rapidamente. Pesquisadores estimam que o custo pode chegar a milhares de dólares por dia em uma única conta comprometida, com a fatura caindo sobre o desenvolvedor.

maos-segurando-chave-e-dinheiro-em-frente-a-notebook-criptografado
Chaves de API expostas permitem que atacantes consumam créditos de IA e gerem cobranças de milhares de dólares por dia na conta dos desenvolvedores.

A terceira é a interrupção de serviço. Esgotar a cota de API disponível para um projeto impede que os próprios sistemas legítimos do desenvolvedor funcionem. Isso porque a cota é por projeto, não por usuário.

O que torna o problema estruturalmente difícil de resolver

O aspecto mais preocupante da situação, destacado tanto pela Quokka quanto pela CloudSEK, é que os desenvolvedores não cometeram erros. Eles seguiram orientações documentadas pelo próprio Google. As chaves foram incorporadas nos apps porque essa era a abordagem recomendada, e elas persistem nas versões subsequentes dos aplicativos porque ninguém as removeu.

A escalada de privilégios retroativa é o que a CloudSEK classifica como o elemento mais urgente do problema. Uma chave com permissões limitadas tem seu escopo expandido automaticamente quando o Google ativa novos serviços no projeto, sem exigir ação do desenvolvedor e sem notificação explícita. O atacante que extraiu a chave de um APK publicado há dois anos pode estar acessando um endpoint de IA que foi habilitado na semana passada.

como-colocar-senha-nos-aplicativos-do-celular-banner.png
A vulnerabilidade afeta aplicativos Android instalados em centenas de milhões de dispositivos ao redor do mundo.

As chaves também são públicas por design, uma vez que o APK é distribuído nas lojas exatamente para que usuários baixem e instalem. Não há como revogar o acesso a uma chave já distribuída sem rotacioná-la e publicar uma nova versão do aplicativo.

Como se proteger

A remediação imediata envolve auditar os projetos no Google Cloud Console para identificar quais têm a Generative Language API habilitada, verificar quais chaves nesses projetos são irrestritas ou têm acesso explícito ao Gemini, e rotacionar qualquer chave que apareça em código client-side, repositórios públicos ou APKs distribuídos.

A abordagem correta para autenticação em APIs sensíveis é usar chaves restritas por IP, por referrer HTTP ou por escopo de API. Isso acaba limitando o que cada chave pode fazer mesmo que seja comprometida. Outra opção é migrar para fluxos OAuth 2.0, que autenticam o usuário em vez de expor uma credencial estática no código do aplicativo.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
IA e Criptografia Quântica: o que ameaça a internet e as eleições brasileiras em 2026?
próxima postagem
CNJ lança programa para promover a cultura no sistema prisional

Você também pode gostar

JBL Flip Essential 3 SE é lançada no...

10 de julho de 2026

GitLost: a falha do GitHub que expõe empresas...

9 de julho de 2026

Horizon Forbidden West e mais games de PS5...

9 de julho de 2026

Placa de video RTX 3060: o que saber...

9 de julho de 2026

POSTS MAIS RECENTES

  • Copa do Mundo tem confronto entre Espanha e Bélgica nesta sexta-feira
  • JBL Flip Essential 3 SE é lançada no Brasil com bateria para 12 horas
  • Stellantis usará sistema híbrido chinês em carros nacionais flex; Peugeot vira marca de nicho
  • Mulher é morta a facadas em apartamento no Cambuí; amigo da família é suspeito
  • Incêndio atinge depósito de sucata em Bragança Paulista e mobiliza equipes dos Bombeiros

Siga-nos

  • Recente
  • Popular
  • Copa do Mundo tem confronto entre Espanha e Bélgica nesta sexta-feira

    10 de julho de 2026
  • JBL Flip Essential 3 SE é lançada no Brasil com bateria para 12 horas

    10 de julho de 2026
  • Stellantis usará sistema híbrido chinês em carros nacionais flex; Peugeot vira marca de nicho

    10 de julho de 2026
  • Mulher é morta a facadas em apartamento no Cambuí; amigo da família é suspeito

    10 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Vacinas contra covid-19 serão atualizadas contra novas variantes

9 de julho de 2026

GitLost: a falha do GitHub que expõe empresas...

9 de julho de 2026

Carga de R$ 4 milhões é roubada após...

9 de julho de 2026

Horizon Forbidden West e mais games de PS5...

9 de julho de 2026

Chances do El Niño ser “muito forte” no...

9 de julho de 2026

Leitura obrigatória

  • Copa do Mundo tem confronto entre Espanha e Bélgica nesta sexta-feira

    10 de julho de 2026
  • JBL Flip Essential 3 SE é lançada no Brasil com bateria para 12 horas

    10 de julho de 2026
  • Stellantis usará sistema híbrido chinês em carros nacionais flex; Peugeot vira marca de nicho

    10 de julho de 2026
  • Mulher é morta a facadas em apartamento no Cambuí; amigo da família é suspeito

    10 de julho de 2026
  • Incêndio atinge depósito de sucata em Bragança Paulista e mobiliza equipes dos Bombeiros

    9 de julho de 2026

Newsletter

Posts relacionados

  • JBL Flip Essential 3 SE é lançada no Brasil com bateria para 12 horas

    10 de julho de 2026
  • GitLost: a falha do GitHub que expõe empresas sem uso de malware

    9 de julho de 2026
  • Horizon Forbidden West e mais games de PS5 e PS4 com até 90% OFF

    9 de julho de 2026
  • Placa de video RTX 3060: o que saber e quais as melhores opções

    9 de julho de 2026
  • Moana, A Morte do Demônio e mais! Confira as estreias do cinema da semana

    9 de julho de 2026

Mais vistas da semana

Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”
22 de janeiro de 2026
9 melhores filmes e séries para assistir na Netflix em julho
1 de julho de 2026
WhatsApp libera reserva de nome de usuário; veja como esconder o número
1 de julho de 2026

Postagens Aleatórias

Sem citar Trump, Lula diz que mundo não pode se curvar a quem faz guerra pelo Twitter
19 de abril de 2026
Palpites para Bolivar La Paz x Fluminense: Análises e Onde Assistir (30/04/2026)
28 de abril de 2026
Samsung e Apple são as únicas que venderam mais smartphones na crise atual
16 de abril de 2026

Categorias Populares

  • Tecnologia (6.050)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.096)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.129)
  • Bragança Paulista (1.105)
  • Esporte (801)
  • Saúde (496)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home