iOS ดูดข้อมูล AI 282 แอป รั่วคีย์ API เปิดทางใช้บริการฟรี
นักวิจัยพบแอป AI บน iOS 282 ตัวรั่วไหลคีย์ API และโทเค็น ส่งผลให้ผู้ไม่หวังดีสามารถใช้บริการ AI ได้ฟรีโดยผู้พัฒนาแบกรับค่าใช้จ่าย
นักวิจัยทดสอบแอปพลิเคชัน AI chatbot บน iPhone จำนวน 444 ตัว พบว่ากว่า 282 แอป หรือเกือบสองในสามของทั้งหมด มีการเปิดเผยการเข้าถึงบริการ AI แบบเสียค่าใช้จ่ายผ่านทางเครือข่ายของแอป
ในหลายกรณี เส้นทางในการเข้าถึงข้อมูลนั้นมองเห็นได้ชัดเจนเพียงแค่สังเกตสิ่งที่แอปส่งออกไป ไม่ว่าจะเป็นคีย์ API ในรูปแบบข้อความธรรมดา โทเค็นที่สามารถนำกลับมาใช้ซ้ำได้ หรือเซิร์ฟเวอร์แบ็กเอนด์ที่ยอมรับคำขอโดยไม่ต้องใช้คีย์ใดๆ เลย
ช่องโหว่ร้ายแรงในแอป AI บน iOS
การค้นพบครั้งนี้สร้างความตกใจให้กับวงการความปลอดภัยทางไซเบอร์ เนื่องจากแอปพลิเคชัน AI chatbot จำนวนมากบน App Store กลับไม่มีการป้องกันข้อมูลที่สำคัญอย่างเหมาะสม การที่คีย์ API ปรากฏในรูปแบบข้อความธรรมดาหมายความว่าแฮกเกอร์หรือผู้ไม่หวังดีสามารถดักจับข้อมูลระหว่างการรับส่งข้อมูลได้โดยง่าย
นอกจากนี้ โทเค็นที่สามารถนำกลับมาใช้ซ้ำได้ยังเป็นอีกหนึ่งช่องโหว่สำคัญ เมื่อผู้โจมตีได้โทเค็นนี้ไปแล้ว ก็สามารถส่งคำขอไปยังโมเดล AI ได้ไม่จำกัด โดยที่ผู้พัฒนาแอปต้องรับภาระค่าใช้จ่ายแทน
ผลกระทบต่อผู้พัฒนาและผู้ใช้งาน
สำหรับผู้พัฒนาแอปพลิเคชัน ความเสี่ยงที่เกิดขึ้นมีสูงมาก หากบัญชีบริการ AI ถูกนำไปใช้ในทางมิชอบ พวกเขาอาจต้องแบกรับค่าใช้จ่ายจำนวนมหาศาลจากการเรียกใช้โมเดล AI โดยไม่ได้รับอนุญาต ยิ่งไปกว่านั้น ข้อมูลที่ส่งไปยังโมเดล AI อาจถูกประมวลผลและจัดเก็บโดยผู้โจมตี ซึ่งส่งผลต่อความเป็นส่วนตัวของผู้ใช้งาน
ผู้ใช้งานทั่วไปเองก็ไม่ปลอดภัย เพราะหากผู้พัฒนาแอปไม่รักษาความปลอดภัยของคีย์ API ให้ดี ข้อมูลส่วนตัวที่ถูกส่งไปยัง AI chatbot ก็อาจตกไปอยู่ในมือของบุคคลที่สามได้ง่ายๆ
แนวทางการป้องกันและแก้ไข
นักวิจัยแนะนำให้ผู้พัฒนาแอปพลิเคชัน AI ใช้วิธีการจัดเก็บคีย์ API อย่างปลอดภัย เช่น การใช้บริการจัดการความลับ (Secrets Management) หรือการเข้ารหัสข้อมูลก่อนส่งผ่านเครือข่าย นอกจากนี้ ควรมีการตรวจสอบและอัปเดตระบบอย่างสม่ำเสมอเพื่อป้องกันช่องโหว่ที่อาจเกิดขึ้นใหม่
ในส่วนของผู้ใช้งาน ควรเลือกดาวน์โหลดแอปพลิเคชันจากนักพัฒนาที่น่าเชื่อถือ และหมั่นตรวจสอบสิทธิ์การเข้าถึงข้อมูลของแอปอยู่เสมอ หากพบพฤติกรรมผิดปกติ ควรหยุดใช้งานและแจ้งให้ผู้พัฒนาแอปทราบทันที
Reference
The Hacker News
หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม
💬 Line @monsteronline
☎️ Tel 02-026-6664
📩 Email [email protected]
🌐 ดูสินค้าเพิ่มเติม mon.co.th
แชทผ่าน LINEดูสินค้าทั้งหมด