แอป DeepSeek บน iOS มีการส่งข้อมูลผู้ใช้โดยไม่มีการเข้ารหัส เสี่ยงถูกแฮ็ก

ผู้เชี่ยวชาญด้านความปลอดภัยเผย แอป DeepSeek บน iOS มีช่องโหว่ร้ายแรง ส่งข้อมูลสำคัญผ่านอินเทอร์เน็ตโดยไม่มีการเข้ารหัส เสี่ยงต่อการถูกดักฟังและโจมตีทางไซเบอร์

การตรวจสอบล่าสุดโดยบริษัทความปลอดภัยไซเบอร์ NowSecure พบว่าแอป DeepSeek ซึ่งเป็นบริการแชตบอท AI ชื่อดัง มีข้อบกพร่องด้านความปลอดภัยอย่างร้ายแรง โดยเฉพาะอย่างยิ่ง แอปมีการส่งข้อมูลที่ละเอียดอ่อนผ่านอินเทอร์เน็ตโดยไม่มีการเข้ารหัส ทำให้ข้อมูลเหล่านี้ตกเป็นเป้าหมายของ การสอดแนม การดักฟัง และการโจมตีโดยการแก้ไขข้อมูล

ข้อมูลสำคัญถูกส่งไปยังเซิร์ฟเวอร์ของ ByteDance เจ้าของ TikTok

ที่น่ากังวลยิ่งกว่านั้น NowSecure ยังเปิดเผยว่า ข้อมูลจากแอป ถูกส่งไปยังเซิร์ฟเวอร์ของ Volcano Engine ซึ่งเป็นแพลตฟอร์มประมวลผลและจัดเก็บข้อมูลบนคลาวด์ที่เป็น ทรัพย์สินของ ByteDance บริษัทแม่ของ TikTok

“แอป DeepSeek บน iOS ปิดการใช้งาน App Transport Security (ATS) ซึ่งเป็นมาตรการความปลอดภัยของ iOS ที่ออกแบบมาเพื่อป้องกันไม่ให้ข้อมูลสำคัญถูกส่งผ่านช่องทางที่ไม่มีการเข้ารหัส” NowSecure กล่าว “เมื่อมาตรการนี้ถูกปิดใช้งาน แอปสามารถ (และกำลัง) ส่งข้อมูลโดยไม่มีการเข้ารหัสผ่านอินเทอร์เน็ต ทำให้ข้อมูลทั้งหมดมีความเสี่ยงสูงต่อการถูกโจมตี”

ใช้ระบบเข้ารหัสล้าสมัย เสี่ยงถูกแฮ็กข้อมูลผู้ใช้

นอกจากนี้ การตรวจสอบเชิงลึกยังพบว่าการเข้ารหัสที่แอปใช้มี จุดอ่อนร้ายแรง ได้แก่

• ใช้อัลกอริทึมเข้ารหัสแบบสมมาตรที่ไม่ปลอดภัย (3DES) ซึ่งล้าสมัยและสามารถถูกถอดรหัสได้ง่าย
• ใช้คีย์เข้ารหัสที่ถูกฝังอยู่ในโค้ด (Hard-coded Encryption Key) ทำให้แฮ็กเกอร์สามารถดึงข้อมูลออกไปได้หากเข้าถึงซอร์สโค้ด
• ใช้ค่าเริ่มต้นของการเข้ารหัส (Initialization Vectors) ซ้ำ ซึ่งเป็นข้อผิดพลาดด้านความปลอดภัยที่สามารถถูกใช้โจมตีแบบเข้ารหัสย้อนกลับ (Cryptographic Attack)

DeepSeek กำลังขึ้นแท่นแอปยอดนิยม แต่ความเสี่ยงยังเพิ่มขึ้นเรื่อยๆ

แม้ว่าจะมีข้อกังวลด้านความปลอดภัยเพิ่มขึ้นเรื่อย ๆ แต่ DeepSeek ยังคงได้รับความนิยมอย่างรวดเร็ว โดยสามารถขึ้นสู่อันดับต้น ๆ ของแอปสโตร์ทั้ง Android และ iOS ในหลายประเทศทั่วโลก

อย่างไรก็ตาม การค้นพบนี้สร้างความตื่นตระหนกให้กับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ และตอกย้ำถึงความเสี่ยงของแอปพลิเคชันที่ไม่ปฏิบัติตามมาตรฐานความปลอดภัยขั้นพื้นฐาน โดยเฉพาะอย่างยิ่งเมื่อข้อมูลผู้ใช้จำนวนมากอาจกำลังตกอยู่ในอันตรายโดยที่พวกเขาไม่รู้ตัว

ผู้ใช้งานควรระมัดระวังในการใช้แอป DeepSeek และพิจารณาถึงความเสี่ยงด้านความปลอดภัยก่อนป้อนข้อมูลสำคัญลงในแอป