Wenn KI-Apps ihren Schlüssel verlieren: API-Zugangsdaten in 64 % der untersuchten iOS-Apps ungeschützt
LGR Reutlingen – 15 Juni 2026 | Eine neue Studie hat alarmierende Ergebnisse zur Sicherheit von API-Zugangsdaten in iOS-Apps veröffentlicht. Bei der Untersuchung von über 400 Anwendungen, die KI-Funktionen nutzen, stellte sich heraus, dass 64 % der Apps ungeschützte API-Schlüssel besitzen. Dies bedeutet, dass potenzielle Angreifer auf die Kosten der Entwickler zugreifen können, wenn diese Schlüssel in falsche Hände geraten. Die Studie, die von einer US-Forschungsgruppe durchgeführt wurde, beleuchtet eine erhebliche Sicherheitslücke zwischen den Anforderungen an eine sichere Integration und dem tatsächlichen Umgang der Entwickler mit sensiblen Daten.
API-Schlüssel sind entscheidend für den Zugriff auf KI-Services, die in der Cloud betrieben werden, wie etwa Sprachmodelle von Anbietern wie OpenAI oder Google. Diese Schlüssel authentifizieren Anfragen und sind vergleichbar mit Kreditkarten – jeder Missbrauch könnte zu hohen Kosten führen. Die Studie dokumentiert einen Fall, in dem ein kompromittierter Schlüssel Schäden von mehr als 46.000 US-Dollar pro Tag verursachen konnte.
Die Forschung konzentrierte sich auf iOS-Apps, da bisherige Analysen vor allem Android-Anwendungen untersucht hatten. Hierbei konnten API-Schlüssel häufig durch Dekompilierung der App-Dateien extrahiert werden. Das iOS-Ökosystem, geschützt durch Apples FairPlay-Kopierschutz, stellte eine Herausforderung dar, die die Forscher mit ihrem neu entwickelten Tool LLMKeyLens überwanden. Dieses System analysiert den Netzwerkverkehr und erkennt spezifische Schlüsselformate, ohne die App selbst zu entschlüsseln.
Das Team untersuchte 5.600 KI-bezogene Apps im US-amerikanischen Apple App Store, wählte 1.092 für eine detaillierte Analyse aus und fand schließlich 444 Apps, die KI-Funktionen aufwiesen. Die Ergebnisse zeigten, dass 48 % der untersuchten Apps mit JWT-Token-Lecks zu kämpfen hatten. Hierbei wurden API-Schlüssel auf Backend-Servern gespeichert, jedoch ohne ausreichende Sicherheitsvorkehrungen. Die Tokens waren oft ohne Ablaufdatum oder konnten ungesichert über den Server abgerufen werden.
Ein weiteres Problem stellte der ungesicherte Backend-Proxy dar, der in 33 % der betroffenen Apps vorkam. Diese Apps leiteten Anfragen über einen Server weiter, der jedoch keine Authentifizierung durchführte. Dies machte den Proxy zu einem offenen Zugangspunkt für potenzielle Angreifer. Zudem übermittelten 19 % der Apps den API-Schlüssel unverschlüsselt im Netzwerkverkehr, was direkte Ausnutzung ermöglichte.
Die Studie stellte auch fest, dass lediglich 32 % der Apps Mechanismen zur Abwehr von Datenabgriffen implementiert hatten. Diese Schutzmaßnahmen waren oft unzureichend, da sie leicht umgangen werden konnten. Besonders gut schnitt eine Kombination aus verschiedenen Sicherheitsmaßnahmen ab, die jedoch nur von 30 % der geschützten Apps angewendet wurde.
Nach der Veröffentlichung der Ergebnisse informierten die Forscher alle betroffenen Entwickler. Eine Nachuntersuchung drei Monate später ergab, dass nur 28 % der Apps Anzeichen einer Behebung der Sicherheitslücken zeigten. Diese geringe Behebungsrate deutet darauf hin, dass viele Entwickler nicht über die notwendigen Kenntnisse oder Ressourcen verfügen, um die aufgedeckten Probleme zu lösen.
Die Studie stellt die erste umfassende Analyse zur Sicherheit von API-Schlüsseln in iOS-Apps dar. Die Autoren fordern klare Richtlinien für Entwickler zur sicheren Implementierung ihrer Proxys und raten den KI-Anbietern, explizite Sicherheitsrichtlinien zu erstellen. Auch Apple könnte durch automatisierte Verfahren zur Erkennung von Zugangsdaten-Lecks im App-Store-Prozess einen wichtigen Beitrag zur Verbesserung der Sicherheit leisten.
