多项安全研究显示，苹果App Store内有数千款iOS应用存在敏感信息暴露风险。研究人员指出，相关问题往往并非源于复杂的恶意软件，而更多与开发环节的编码疏漏以及云服务配置不当有关，可能导致密钥、访问令牌乃至实时数据库被外部获取，影响范围覆盖人工智能工具、社交应用及金融类产品等多个类别。

安全团队在对iOS应用样本进行拆解分析后表示，这类风险呈现系统性特征，并非少数恶意行为者单独造成。研究人员称，大量应用在代码层面暴露“秘密信息”，与苹果长期强调的iOS隐私与安全形象形成反差，也引发外界对App Store审核与上架应用安全保障边界的关注。

“硬编码秘密”问题仍普遍存在

研究人员将风险核心指向一种被认为应当淘汰的开发做法：将密码、API密钥、访问令牌等敏感信息直接写入应用代码。相关分析称，样本应用平均暴露5.2个“秘密”，且71%的应用至少泄露一个。

研究人员表示，这些暴露内容并非抽象概念，可能对应支付系统、云存储或内部管理面板等服务的真实凭证。一旦应用发布，具备基础逆向工程工具的人员即可从应用二进制文件中提取相关信息，无需物理接触设备或高阶攻击能力。研究人员还警告称，部分端点缺乏保护，攻击者可能借由反编译结果直接触达实时用户数据。

云端配置错误与Firebase暴露

研究人员称，风险不仅存在于应用代码层面，部分iOS应用依赖的云端后端也可能因配置不当而对外开放。安全团队提到，部分应用使用谷歌Firebase存储用户数据但未进行适当认证，导致数据库暴露；同时，云存储配置错误造成的数据泄露规模被指达到406TB。

研究人员表示，暴露的数据类型可能超出用户名等基础信息，记录中或包含联系人列表、私信、位置历史，以及通过聊天或照片类应用上传的原始媒体文件。在部分案例中，配置错误不仅导致数据可被读取，还可能允许未认证写入，从而带来被植入恶意文件或污染分析数据的风险。研究人员认为，当云端暴露与应用内硬编码密钥叠加时，攻击面将进一步扩大，并更易被批量扫描利用。

AI与社交应用被点名，出现公开追踪库

研究人员称，数据暴露问题跨越多个应用类别，但在App Store热门领域中更为突出，其中人工智能与社交应用被认为是较为严重的类别之一。相关分析指出，一些与处理敏感提示词和文档相关的AI工具存在更显著的暴露风险。

另有针对iPhone AI应用的研究提到，部分聊天机器人与图像生成器可能暴露用户原以为私密的文件与对话内容，并推动了名为Firehound的公开泄露追踪注册库出现。研究人员称，该注册库显示相关风险应用在市场中分布广泛，用户即便通过热门搜索结果下载应用，也可能接触到存在隐患的软件。报道还提到，App Store中存在记录提示词、存储上传PDF并保存对话历史的AI工具，而相关做法并未明确披露；当后端配置错误或与硬编码密钥关联时，可能导致包括治疗式聊天、法律文件等高度敏感内容暴露在易被扫描的位置。

金融类风险：Stripe密钥泄露引发关注

在金融风险方面，Cybernews的安全研究人员称，数千款iOS应用存在用户数据暴露并泄露Stripe密钥的情况，可能使攻击者劫持支付流程或窃取交易信息。相关分析提到，约83,000款应用使用该支付平台，显示密钥部署范围广泛；研究人员认为，若其中一部分应用泄露实时凭证，可能被犯罪分子用于大规模测试与利用。

此外，研究还提到iPhone用户相较Android用户更易成为诈骗目标的现象，并在Kurt the CyberGuy于Fox & Friends讨论相关问题时被提及。研究人员认为，部分原因与用户认知有关：一些用户将苹果封闭生态等同于“应用天然安全”，从而对权限提示或订阅优惠的警惕性不足。研究人员同时指出，知名开发者通常拥有更完善的安全团队与更新机制，而小型或不知名应用可能在快速迭代功能时忽视基础安全要求。

苹果审核与用户侧工具

报道提到，苹果方面并未忽视相关问题，并表示App Store相较其他平台仍具安全优势。苹果称，其结合人工审核与自动检测的流程已阻止超过90亿美元的欺诈交易，并会定期拒绝包含隐藏或未记录功能的应用。苹果也向开发者提供隐私与安全相关文档，并在支持页面引导用户使用应用隐私标签等系统级功能。

研究人员建议，用户在安装应用时应将其视为潜在风险来源，而非默认平台已识别所有问题。报道提到，用户可使用苹果提供的隐私控制工具，例如应用隐私报告，以查看应用在后台对传感器与网络的访问情况。对于处理高度敏感内容的AI与社交工具，研究人员建议在提交敏感文件前保持谨慎，并可参考Firehound等公开注册库进行核查。