ผู้เชี่ยวชาญด้านความปลอดภัยเผย แอป DeepSeek บน iOS มีช่องโหว่ร้ายแรง ส่งข้อมูลสำคัญผ่านอินเทอร์เน็ตโดยไม่มีการเข้ารหัส เสี่ยงต่อการถูกดักฟังและโจมตีทางไซเบอร์
การตรวจสอบล่าสุดโดยบริษัทความปลอดภัยไซเบอร์ NowSecure พบว่าแอป DeepSeek ซึ่งเป็นบริการแชตบอท AI ชื่อดัง มีข้อบกพร่องด้านความปลอดภัยอย่างร้ายแรง โดยเฉพาะอย่างยิ่ง แอปมีการส่งข้อมูลที่ละเอียดอ่อนผ่านอินเทอร์เน็ตโดยไม่มีการเข้ารหัส ทำให้ข้อมูลเหล่านี้ตกเป็นเป้าหมายของ การสอดแนม การดักฟัง และการโจมตีโดยการแก้ไขข้อมูล
ข้อมูลสำคัญถูกส่งไปยังเซิร์ฟเวอร์ของ ByteDance เจ้าของ TikTok
ที่น่ากังวลยิ่งกว่านั้น NowSecure ยังเปิดเผยว่า ข้อมูลจากแอป ถูกส่งไปยังเซิร์ฟเวอร์ของ Volcano Engine ซึ่งเป็นแพลตฟอร์มประมวลผลและจัดเก็บข้อมูลบนคลาวด์ที่เป็น ทรัพย์สินของ ByteDance บริษัทแม่ของ TikTok
“แอป DeepSeek บน iOS ปิดการใช้งาน App Transport Security (ATS) ซึ่งเป็นมาตรการความปลอดภัยของ iOS ที่ออกแบบมาเพื่อป้องกันไม่ให้ข้อมูลสำคัญถูกส่งผ่านช่องทางที่ไม่มีการเข้ารหัส” NowSecure กล่าว “เมื่อมาตรการนี้ถูกปิดใช้งาน แอปสามารถ (และกำลัง) ส่งข้อมูลโดยไม่มีการเข้ารหัสผ่านอินเทอร์เน็ต ทำให้ข้อมูลทั้งหมดมีความเสี่ยงสูงต่อการถูกโจมตี
ใช้ระบบเข้ารหัสล้าสมัย เสี่ยงถูกแฮ็กข้อมูลผู้ใช้
นอกจากนี้ การตรวจสอบเชิงลึกยังพบว่าการเข้ารหัสที่แอปใช้มี จุดอ่อนร้ายแรง ได้แก่
-
- ใช้อัลกอริทึมเข้ารหัสแบบสมมาตรที่ไม่ปลอดภัย (3DES) ซึ่งล้าสมัยและสามารถถูกถอดรหัสได้ง่าย
-
- ใช้คีย์เข้ารหัสที่ถูกฝังอยู่ในโค้ด (Hard-coded Encryption Key) ทำให้แฮ็กเกอร์สามารถดึงข้อมูลออกไปได้หากเข้าถึงซอร์สโค้ด
-
- ใช้ค่าเริ่มต้นของการเข้ารหัส (Initialization Vectors) ซ้ำ ซึ่งเป็นข้อผิดพลาดด้านความปลอดภัยที่สามารถถูกใช้โจมตีแบบเข้ารหัสย้อนกลับ (Cryptographic Attack)
DeepSeek กำลังขึ้นแท่นแอปยอดนิยม แต่ความเสี่ยงยังเพิ่มขึ้นเรื่อย ๆ
แม้ว่าจะมีข้อกังวลด้านความปลอดภัยเพิ่มขึ้นเรื่อย ๆ แต่ DeepSeek ยังคงได้รับความนิยมอย่างรวดเร็ว โดยสามารถขึ้นสู่อันดับต้น ๆ ของแอปสโตร์ทั้ง Android และ iOS ในหลายประเทศทั่วโลก
อย่างไรก็ตาม การค้นพบนี้สร้างความตื่นตระหนกให้กับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ และตอกย้ำถึงความเสี่ยงของแอปพลิเคชันที่ไม่ปฏิบัติตามมาตรฐานความปลอดภัยขั้นพื้นฐาน โดยเฉพาะอย่างยิ่งเมื่อข้อมูลผู้ใช้จำนวนมากอาจกำลังตกอยู่ในอันตรายโดยที่พวกเขาไม่รู้ตัว
ผู้ใช้งานควรระมัดระวังในการใช้แอป DeepSeek และพิจารณาถึงความเสี่ยงด้านความปลอดภัยก่อนป้อนข้อมูลสำคัญลงในแอป
————————————————————————————————-
ที่มา : enterpriseitpro / วันที่เผยแพร่ 8 กุมภาพันธ์ 2568
Link : https://www.enterpriseitpro.net/deepseek-app-transmits-sensitive-user-and-device-data-without-encryption/
