Back to Blog

iOS ดูดข้อมูล AI 282 แอป รั่วคีย์ API เปิดทางใช้บริการฟรี

นักวิจัยพบแอป AI บน iOS 282 ตัวรั่วไหลคีย์ API และโทเค็น ส่งผลให้ผู้ไม่หวังดีสามารถใช้บริการ AI ได้ฟรีโดยผู้พัฒนาแบกรับค่าใช้จ่าย

Sales
1 min read
iOS ดูดข้อมูล AI 282 แอป รั่วคีย์ API เปิดทางใช้บริการฟรี

นักวิจัยทดสอบแอปพลิเคชัน AI chatbot บน iPhone จำนวน 444 ตัว พบว่ากว่า 282 แอป หรือเกือบสองในสามของทั้งหมด มีการเปิดเผยการเข้าถึงบริการ AI แบบเสียค่าใช้จ่ายผ่านทางเครือข่ายของแอป

ในหลายกรณี เส้นทางในการเข้าถึงข้อมูลนั้นมองเห็นได้ชัดเจนเพียงแค่สังเกตสิ่งที่แอปส่งออกไป ไม่ว่าจะเป็นคีย์ API ในรูปแบบข้อความธรรมดา โทเค็นที่สามารถนำกลับมาใช้ซ้ำได้ หรือเซิร์ฟเวอร์แบ็กเอนด์ที่ยอมรับคำขอโดยไม่ต้องใช้คีย์ใดๆ เลย



ช่องโหว่ร้ายแรงในแอป AI บน iOS


การค้นพบครั้งนี้สร้างความตกใจให้กับวงการความปลอดภัยทางไซเบอร์ เนื่องจากแอปพลิเคชัน AI chatbot จำนวนมากบน App Store กลับไม่มีการป้องกันข้อมูลที่สำคัญอย่างเหมาะสม การที่คีย์ API ปรากฏในรูปแบบข้อความธรรมดาหมายความว่าแฮกเกอร์หรือผู้ไม่หวังดีสามารถดักจับข้อมูลระหว่างการรับส่งข้อมูลได้โดยง่าย

นอกจากนี้ โทเค็นที่สามารถนำกลับมาใช้ซ้ำได้ยังเป็นอีกหนึ่งช่องโหว่สำคัญ เมื่อผู้โจมตีได้โทเค็นนี้ไปแล้ว ก็สามารถส่งคำขอไปยังโมเดล AI ได้ไม่จำกัด โดยที่ผู้พัฒนาแอปต้องรับภาระค่าใช้จ่ายแทน



ผลกระทบต่อผู้พัฒนาและผู้ใช้งาน


สำหรับผู้พัฒนาแอปพลิเคชัน ความเสี่ยงที่เกิดขึ้นมีสูงมาก หากบัญชีบริการ AI ถูกนำไปใช้ในทางมิชอบ พวกเขาอาจต้องแบกรับค่าใช้จ่ายจำนวนมหาศาลจากการเรียกใช้โมเดล AI โดยไม่ได้รับอนุญาต ยิ่งไปกว่านั้น ข้อมูลที่ส่งไปยังโมเดล AI อาจถูกประมวลผลและจัดเก็บโดยผู้โจมตี ซึ่งส่งผลต่อความเป็นส่วนตัวของผู้ใช้งาน

ผู้ใช้งานทั่วไปเองก็ไม่ปลอดภัย เพราะหากผู้พัฒนาแอปไม่รักษาความปลอดภัยของคีย์ API ให้ดี ข้อมูลส่วนตัวที่ถูกส่งไปยัง AI chatbot ก็อาจตกไปอยู่ในมือของบุคคลที่สามได้ง่ายๆ



แนวทางการป้องกันและแก้ไข


นักวิจัยแนะนำให้ผู้พัฒนาแอปพลิเคชัน AI ใช้วิธีการจัดเก็บคีย์ API อย่างปลอดภัย เช่น การใช้บริการจัดการความลับ (Secrets Management) หรือการเข้ารหัสข้อมูลก่อนส่งผ่านเครือข่าย นอกจากนี้ ควรมีการตรวจสอบและอัปเดตระบบอย่างสม่ำเสมอเพื่อป้องกันช่องโหว่ที่อาจเกิดขึ้นใหม่

ในส่วนของผู้ใช้งาน ควรเลือกดาวน์โหลดแอปพลิเคชันจากนักพัฒนาที่น่าเชื่อถือ และหมั่นตรวจสอบสิทธิ์การเข้าถึงข้อมูลของแอปอยู่เสมอ หากพบพฤติกรรมผิดปกติ ควรหยุดใช้งานและแจ้งให้ผู้พัฒนาแอปทราบทันที



Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINEดูสินค้าทั้งหมด