کلیدهای حذف‌شده API گوگل تا ۲۳ دقیقه همچنان فعال می‌مانند

پژوهشگران امنیتی هشدار داده‌اند که کلید‌های API گوگل حتی پس از حذف شدن نیز ممکن است تا ۲۳ دقیقه همچنان قابل استفاده باقی بمانند.

کلید‌های API گوگل، اعتبارنامه‌هایی هستند که به اپلیکیشن‌ها اجازه می‌دهند به سرویس‌های مختلف گوگل، از Google Maps گرفته تا هوش مصنوعی Gemini، دسترسی داشته باشند. در صورتی که این کلید‌ها افشا شوند، مهاجمان می‌توانند از آنها برای ارسال درخواست‌های API، ایجاد هزینه مالی، و در صورت فعال بودن Gemini، حتی دسترسی به فایل‌های بارگذاری‌شده و مکالمات ذخیره‌شده استفاده کنند.

راهکار بدیهی برای مقابله با این مشکل، حذف کلید API است؛ اما شرکت امنیتی Aikido Security اعلام کرده این فرایند بلافاصله عمل نمی‌کند.

نتایج آزمایش‌ها

پژوهشگران اعلام کردند که در آزمایش‌های خود، حتی تا ۲۳ دقیقه پس از حذف کلید نیز احراز هویت موفق انجام شده است. میانگین زمان فعال ماندن کلید‌ها حدود ۱۶ دقیقه بوده و این آزمایش‌ها طی دو روز و در قالب ۱۰ تست انجام شده‌اند.

آنها توضیح دادند: "در هر آزمایش، یک کلید API ایجاد کردیم، آن را حذف کردیم و سپس در هر ثانیه بین ۳ تا ۵ درخواست احراز هویت‌شده ارسال کردیم تا زمانی که برای چند دقیقه دیگر هیچ پاسخ معتبری دریافت نشد. "

به گفته محققان، بسیاری از سرویس‌های Google Cloud بر اساس معماری «سازگاری تدریجی» (Eventually Consistent) طراحی شده‌اند؛ به این معنا که تغییرات به‌تدریج بین سرور‌ها توزیع می‌شوند و نه به‌صورت همزمان. این رویکرد به گوگل کمک می‌کند تا سرویس‌های خود را در مقیاس جهانی سریع و پایدار نگه دارد، اما در حوزه احراز هویت می‌تواند مشکل‌ساز شود.

رابط کاربری گمراه‌کننده

محققان همچنین معتقدند رابط کاربری گوگل در این زمینه گمراه‌کننده است. در پنجره حذف کلید API اعلام می‌شود که کلید «دیگر قابل استفاده برای ارسال درخواست API نیست»، اما آزمایش‌ها خلاف این موضوع را نشان داده‌اند.

علاوه بر این، کاربران هیچ راهی برای اطمینان از غیرفعال شدن کامل کلید یا تسریع روند حذف آن در اختیار ندارند.

هشدار به کاربران

پژوهشگران اعلام کردند این رفتار فقط محدود به Gemini نیست و در API‌های دیگری مانند BigQuery و Google Maps نیز مشاهده شده است.

آنها همچنین فرایند لغو اعتبار کلید‌های Google Service Account و نسخه جدیدتری از کلید‌های API مخصوص Gemini را آزمایش کردند. نتایج نشان داد که زمان غیرفعال‌سازی این موارد به‌ترتیب حدود ۵ ثانیه و ۱ دقیقه است.

به گفته محققان، این موضوع نشان می‌دهد که غیرفعال‌سازی سریع‌تر از نظر فنی در مقیاس گوگل امکان‌پذیر است، اما گوگل فعلاً این رفتار را «ویژگی شناخته‌شده سیستم و نه یک مشکل امنیتی» می‌داند و برنامه‌ای برای رفع آن ندارد.

کارشناسان توصیه می‌کنند کاربرانی که قصد حذف کلید API گوگل را دارند، این فرایند را به‌عنوان یک عملیات ۳۰ دقیقه‌ای در نظر بگیرند و در این بازه، میزان استفاده از API‌ها را از طریق بخش «Enabled APIs and Services» در کنسول GCP زیر نظر داشته باشند.