อ้าวหนักเลย! แอป DeepSeek ส่งข้อมูลโดยไม่มีการเข้ารหัส และแย่กว่านั้น ดันส่งไปบริษัทแม่ TikTok อีกด้วย!

กระทู้สนทนา

TikTok ปัญญาประดิษฐ์ (Artificial Intelligence) (AI) เตือนภัย iOS เทคโนโลยี

ผู้เชี่ยวชาญด้านความปลอดภัยเผย แอป DeepSeek บน iOS มีช่องโหว่ร้ายแรง ส่งข้อมูลสำคัญผ่านอินเทอร์เน็ตโดยไม่มีการเข้ารหัส เสี่ยงต่อการถูกดักฟังและโจมตีทางไซเบอร์

การตรวจสอบล่าสุดโดยบริษัทความปลอดภัยไซเบอร์ NowSecure พบว่าแอป DeepSeek ซึ่งเป็นบริการแชตบอท AI ชื่อดัง มี ข้อบกพร่องด้านความปลอดภัยอย่างร้ายแรง โดยเฉพาะอย่างยิ่ง แอปมีการส่งข้อมูลที่ละเอียดอ่อนผ่านอินเทอร์เน็ตโดยไม่มีการเข้ารหัส ทำให้ข้อมูลเหล่านี้ตกเป็นเป้าหมายของ การสอดแนม การดักฟัง และการโจมตีโดยการแก้ไขข้อมูล

ที่น่ากังวลยิ่งกว่านั้น NowSecure ยังเปิดเผยว่า ข้อมูลจากแอป ถูกส่งไปยังเซิร์ฟเวอร์ของ Volcano Engine ซึ่งเป็นแพลตฟอร์มประมวลผลและจัดเก็บข้อมูลบนคลาวด์ที่เป็น ทรัพย์สินของ ByteDance บริษัทแม่ของ TikTok

นอกจากนี้ การตรวจสอบเชิงลึกยังพบว่าการเข้ารหัสที่แอปใช้มี จุดอ่อนร้ายแรง ได้แก่

• ใช้อัลกอริทึมเข้ารหัสแบบสมมาตรที่ไม่ปลอดภัย (3DES) ซึ่งล้าสมัยและสามารถถูกถอดรหัสได้ง่าย

• ใช้คีย์เข้ารหัสที่ถูกฝังอยู่ในโค้ด (Hard-coded Encryption Key) ทำให้แฮ็กเกอร์สามารถดึงข้อมูลออกไปได้หากเข้าถึงซอร์สโค้ด

• ใช้ค่าเริ่มต้นของการเข้ารหัส (Initialization Vectors) ซ้ำ ซึ่งเป็นข้อผิดพลาดด้านความปลอดภัยที่สามารถถูกใช้โจมตีแบบเข้ารหัสย้อนกลับ (Cryptographic Attack)

ที่มา : Enterprise ITPro ข่าวไอทีและบทความความรู้ สำหรับองค์กร