แอปพลิเคชันมือถือยอดนิยม “Chat & Ask AI” ประสบเหตุการณ์ข้อมูลรั่วไหลโดยไม่ตั้งใจ เปิดเผยการสนทนาส่วนตัวของผู้ใช้จำนวนมหาศาล แอปซึ่งมีผู้ใช้กว่า 50 ล้านคนใน Google Play และ Apple App Store ไม่ได้รักษาความปลอดภัยของฐานข้อมูลแบ็กเอนด์อย่างเหมาะสม ทำให้บุคคลที่ไม่ได้รับอนุญาตสามารถเข้าถึงข้อมูลผู้ใช้ที่ละเอียดอ่อนได้ การรั่วไหลเกิดจากการตั้งค่าที่ไม่ถูกต้องบนแพลตฟอร์ม Google Firebase ซึ่งอนุญาตให้ใครก็ตามสามารถกำหนดตัวเองเป็นผู้ใช้ที่ “ได้รับการรับรองสิทธิ์” ซึ่งทำให้เข้าถึงพื้นที่เก็บข้อมูลแบ็กเอนด์ของแอปได้
Severity: วิกฤต
System Impact:
- แอปพลิเคชันมือถือ “Chat & Ask AI” (ทั้ง Android และ iOS)
- ฐานข้อมูลแบ็กเอนด์บนแพลตฟอร์ม Google Firebase
- ข้อมูลการสนทนาส่วนตัวของผู้ใช้ (รวมถึงข้อมูลละเอียดอ่อน เช่น วิธีการผลิตยาเสพติด, วิธีแฮกแอปพลิเคชัน, คำแนะนำเรื่องการฆ่าตัวตาย)
Technical Attack Steps:
- ฐานข้อมูลแบ็กเอนด์ของแอป “Chat & Ask AI” ซึ่งโฮสต์บน Google Firebase ถูกตั้งค่าไม่ปลอดภัย
- การตั้งค่าความปลอดภัยถูกปล่อยให้อยู่ในสถานะเริ่มต้น (default state)
- สถานะเริ่มต้นนี้อนุญาตให้บุคคลใดก็ได้สามารถกำหนดตัวเองเป็นผู้ใช้ที่ “ได้รับการรับรองสิทธิ์”
- ช่องโหว่นี้ทำให้สามารถเข้าถึงพื้นที่เก็บข้อมูลแบ็กเอนด์ของแอปโดยไม่ได้รับอนุญาต และอ่านการสนทนาของผู้ใช้ได้
Recommendations:
Short Term:
- ผู้ใช้ควรระมัดระวังข้อมูลส่วนตัวที่แชร์กับเครื่องมือ AI ของบุคคลที่สาม
- ตรวจสอบการอนุญาตของแอปและความน่าเชื่อถือของแอปอย่างละเอียดถี่ถ้วนก่อนใช้งาน
Long Term:
- นักพัฒนาแอปต้องมั่นใจในการตั้งค่าและรักษาความปลอดภัยของฐานข้อมูลแบ็กเอนด์อย่างรอบคอบ โดยเฉพาะบนแพลตฟอร์มคลาวด์เช่น Google Firebase
- ตรวจสอบการตั้งค่าความปลอดภัยของแอปพลิเคชันเป็นประจำ
- ใช้กลไกการยืนยันตัวตนที่แข็งแกร่ง นอกเหนือจากการตั้งค่าเริ่มต้น
- ให้ความรู้แก่ผู้ใช้เกี่ยวกับความเสี่ยงของการแบ่งปันข้อมูลที่ละเอียดอ่อนกับแอปพลิเคชันของบุคคลที่สาม
Source: https://cybersecuritynews.com/ai-chat-app-exposes-messages/
Share this content: