เตือนภัยผู้ใช้ Android 22 แอปดังฝัง API เปิดทางสวมรอยใช้ Gemini ล้วงข้อมูล
เตือนภัยผู้ใช้ Android! พบ 22 แอปฯ ดังแอบฝังรหัส API หลอกใช้ Gemini AI ฟรี แต่แอบฉกข้อมูล เสี่ยงรั่วทั้งไฟล์ แชต และค่าใช้จ่ายพุ่ง
KEY
POINTS
- พบแอปพลิเคชัน Android ยอดนิยม 22 รายการ ที่มียอดดาวน์โหลดรวมกว่า 500 ล้านครั้ง มีช่องโหว่จากการฝังรหัส Google API Key ไว้ในตัวแอปโดยตรง
- ช่องโหว่ดังกล่าวเปิดทางให้แฮกเกอร์สามารถขโมยรหัส API ไปใช้บริการ Gemini AI และเข้าถึงข้อมูลส่วนตัวของผู้ใช้ เช่น ประวัติการแชท ไฟล์เสียง หรือเอกสารได้
- แฮกเกอร์สามารถสวมรอยใช้ API Key ที่ขโมยมา สร้างภาระค่าใช้จ่ายมหาศาลให้กับผู้พัฒนา และอาจทำให้ฟีเจอร์ AI ของแอปฯ ใช้งานไม่ได้
ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคลระบุว่ามีรายงานด่วนจากทีมวิจัยความปลอดภัยไซเบอร์ (CloudSEK) ตรวจพบช่องโหว่ร้ายแรงในแอปพลิเคชัน Android ยอดนิยมจำนวน 22 แอปฯ ที่มียอดดาวน์โหลดรวมกันกว่า 500 ล้านครั้ง
โดยพบการฝังรหัส Google API Keys ไว้ในตัวแอปโดยตรง (Hardcoded) ซึ่งรหัสเหล่านี้สามารถเปิดประตูให้แฮกเกอร์เข้าถึงบริการ Gemini AI และข้อมูลส่วนบุคคลของผู้ใช้ได้โดยไม่รู้ตัว
ทำไมเรื่องนี้ถึงอันตราย
ปัญหาเกิดจากการที่นักพัฒนาแอปฯ นำรหัส API Key ของ Google (ซึ่งปกติอาจใช้แค่บริการทั่วไปอย่าง Google Maps) มาใส่ไว้ในโค้ดของแอปฯ เพื่อเรียกใช้งานฟีเจอร์ต่างๆ แต่ความน่ากลัวคือ:
- สิทธิ์ที่เกินขอบเขต (Retroactive Privilege): เมื่อนักพัฒนาเปิดใช้งานบริการ Generative Language API (Gemini) ในโปรเจกต์เดิม รหัส API Key ที่เคย "ปลอดภัย" จะได้รับสิทธิ์เข้าถึง Gemini AI โดยอัตโนมัติทันที
- แฮกเกอร์มองเห็นรหัส: มิจฉาชีพสามารถ "แกะโค้ด" (Decompile) แอปฯ เหล่านี้เพื่อเอารหัส API Key ออกมาใช้เอง
- เข้าถึงข้อมูลลับ: รหัสที่หลุดไปช่วยให้แฮกเกอร์สามารถเข้าไปดู ไฟล์เสียง (Audio samples), เอกสารที่อัปโหลด หรือประวัติการแชทกับ AI ที่ถูกจัดเก็บไว้ในระบบคลาวด์ของแอปฯ นั้นๆ ได้
- ภาระค่าใช้จ่าย: หากเป็นแอปฯ ที่มีการผูกบัตรเครดิตเพื่อจ่ายค่าบริการ AI แฮกเกอร์สามารถใช้รหัสนี้ "สวมรอย" ใช้งานจนโควตาเต็มหรือสร้างหนี้มหาศาลให้ผู้พัฒนา (พบเคสหนึ่งโดนเรียกเก็บเงินสูงถึง $82,314 ในเวลาเพียง 2 วัน!)
แอปฯ กลุ่มไหนที่เสี่ยง
แม้จะไม่มีการเปิดเผยชื่อแอปฯ ทั้งหมดเพื่อความปลอดภัยระหว่างการแก้ไข แต่ส่วนใหญ่เป็นแอปฯ ในกลุ่ม:
▪ แอปฯ แปลภาษา (Translation)
▪ แอปฯ ช่วยเขียนหรือสร้างคอนเทนต์ (AI Writing Assistants)
▪ แอปฯ วิเคราะห์เสียงหรือการออกเสียง
▪ แอปฯ แต่งรูปภาพที่ใช้พลัง AI
แนวทางการป้องกันสำหรับผู้ใช้งาน:
ตรวจสอบสิทธิ์การเข้าถึง: เข้าไปที่หน้า Google Account Settings > Security > Third-party apps with account access เพื่อดูว่ามีแอปฯ ไหนที่ขอสิทธิ์เข้าถึง Google Drive หรือข้อมูลที่ละเอียดอ่อนเกินจำเป็นหรือไม่
- อัปเดตแอปฯ สม่ำเสมอ: นักพัฒนาที่ได้รับแจ้งเตือนกำลังเร่งออกแพตช์เพื่อถอนรหัส API ออกจากโค้ด การอัปเดตเป็นเวอร์ชันล่าสุดคือวิธีป้องกันที่ดีที่สุด
- สังเกตความผิดปกติ: หากแอปฯ ที่คุณใช้มีอาการหน่วงอย่างผิดปกติ หรือฟีเจอร์ AI ใช้งานไม่ได้ (เพราะโควตา API เต็ม) ให้ระวังว่าแอปฯ นั้นอาจกำลังถูกโจมตี
สำหรับนักพัฒนา นี่คือบทเรียนสำคัญว่า "ห้ามฝัง API Key ไว้ใน Client-side code เด็ดขาด" และควรจำกัดสิทธิ์ (Restrict) การใช้งาน API ให้เข้าถึงเฉพาะบริการที่จำเป็นเท่านั้น
