นักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ร้ายแรงในแอปหาคู่สำหรับวัยรุ่นชื่อ Pandu ที่เปิดเผยข้อมูลส่วนตัวของเด็กอายุต่ำกว่า 18 ปีเกือบ 1,000 คน แอปนี้ซึ่งผ่านกระบวนการตรวจสอบของ App Store ของ Apple มาได้ มีช่องโหว่ด้านความปลอดภัยที่สำคัญหลายจุดที่ทำให้ตำแหน่งที่อยู่ รูปภาพ และข้อมูลส่วนตัวของผู้ใช้ถูกเปิดเผยอย่างสมบูรณ์
ช่องโหว่ด้านความปลอดภัยที่พบ:
- API keys ที่ถูกเขียนตายตัวในซอร์สโค้ด
- ฐานข้อมูลเปิดโล่งโดยไม่ต้องมีการยืนยันตัวตน
- ข้อมูลตำแหน่งที่อยู่ รูปภาพ และข้อมูลส่วนตัวของผู้ใช้ถูกเปิดเผย
- เด็กอายุต่ำกว่า 18 ปีได้รับผลกระทบเกือบ 1,000 คน
- การติดตามตำแหน่งแบบเรียลไทม์สามารถเข้าถึงได้โดยใครก็ตาม
กระบวนการค้นพบ
การสืบสวนเริ่มต้นขึ้นเมื่อนักวิจัยด้านความปลอดภัย coal320 พบกับผู้สร้างแอปในงาน hackathon ความอยากรู้เกี่ยวกับแอปพลิเคชันที่สร้างด้วย AI ได้กลายเป็นการตรวจสอบความปลอดภัยที่น่าเป็นห่วงอย่างรวดเร็ว นักวิจัยพบว่าซอร์สโค้ดของแอปมี API keys และข้อมูลประจำตัวฐานข้อมูลที่ฝังตายตัว ทำให้ใครก็ตามสามารถเข้าถึงระบบแบ็กเอนด์ได้อย่างง่ายดาย
การค้นพบที่น่าตกใจที่สุดคือฐานข้อมูลของแอปไม่มีข้อจำกัดด้านความปลอดภัยใดๆ เลย ใครก็ตามที่มีความรู้ทางเทคนิคพื้นฐานสามารถเข้าถึง แก้ไข หรือลบข้อมูลผู้ใช้ได้โดยไม่ต้องมีการยืนยันตัวตนใดๆ ซึ่งหมายความว่าตำแหน่งแบบเรียลไทม์ของเด็กๆ รูปภาพส่วนตัว และข้อมูลโปรไฟล์เป็นเสมือนข้อมูลสาธารณะ
รายละเอียดทางเทคนิค:
- แอปพลิเคชันสร้างขึ้นโดยใช้เครื่องมือ AI ( Cursor , Claude )
- ใช้ Supabase เป็นฐานข้อมูลแบ็กเอนด์
- มี API keys ของ OpenAI อยู่ในรูปแบบข้อความธรรมดา
- ซอร์สโค้ดสามารถเข้าถึงได้ผ่านวิธีการแยกไฟล์แบบง่าย ๆ
- ไม่มีข้อจำกัดด้านความปลอดภัยในการสืบค้นฐานข้อมูล
การตอบสนองของชุมชนและการเปิดเผยอย่างมีความรับผิดชอบ
ปฏิกิริยาของชุมชนเทคโนโลยีมีความหลากหลาย โดยหลายคนชื่นชมนักวิจัยที่เปิดเผยช่องโหว่สำคัญเหล่านี้ ในขณะที่คนอื่นๆ วิจารณ์วิธีการเปิดเผยต่อสาธารณะ นักวิจัยอ้างว่าได้ติดต่อนักพัฒนาแอปก่อนผ่านแนวปฏิบัติการเปิดเผยอย่างมีความรับผิดชอบ แต่ได้รับความสนใจเพียงเล็กน้อยในการแก้ไขปัญหา
ผลกระทบด้านความเป็นส่วนตัวจากการใช้ซอฟต์แวร์ที่สร้างโดยคนที่ผลผลิตการทำงานเชื่อมโยงโดยตรงกับ uptime ของ Cursor นั้นแย่มาก
สมาชิกชุมชนบางคนตั้งคำถามว่าการเผยแพร่คำแนะนำทางเทคนิคโดยละเอียดสำหรับการเข้าถึงช่องโหว่นั้นเหมาะสมหรือไม่ โดยโต้แย้งว่าอาจทำให้เด็กๆ เสี่ยงมากขึ้น คนอื่นๆ ปกป้องการเปิดเผยต่อสาธารณะว่าจำเป็น เนื่องจากนักพัฒนาดูเหมือนจะไม่เต็มใจแก้ไขปัญหาด้านความปลอดภัย
ปัญหาการพัฒนา AI ในวงกว้าง
เหตุการณ์นี้เน้นย้ำความกังวลที่เพิ่มขึ้นเกี่ยวกับคุณภาพของแอปพลิเคชันที่สร้างด้วย AI ที่เข้าสู่ตลาด มีรายงานว่าแอปนี้สร้างขึ้นโดยใช้เครื่องมือเขียนโค้ด AI เช่น Cursor และ Claude โดยมีการดูแลหรือตรวจสอบความปลอดภัยจากมนุษย์เพียงเล็กน้อย การพัฒนาอย่างรวดเร็วที่เครื่องมือเหล่านี้เปิดใช้งานทำให้ผู้ที่มีความรู้ด้านการเขียนโปรแกรมจำกัดสามารถสร้างและปรับใช้แอปพลิเคชันได้โดยไม่เข้าใจหลักการความปลอดภัยพื้นฐาน
สถานการณ์นี้ทำให้เกิดคำถามเกี่ยวกับทั้งความรับผิดชอบของนักพัฒนาและการดูแลของแพลตฟอร์ม กระบวนการอนุมัติ App Store ของ Apple ล้มเหลวในการตรวจจับช่องโหว่ด้านความปลอดภัยที่ชัดเจนเหล่านี้ แม้ว่าแอปจะออกแบบมาสำหรับเด็กเยาวชนและจัดการข้อมูลตำแหน่งที่ละเอียดอ่อน
 |
|---|
| ภาพนี้แสดงถึงการอภิปรายเกี่ยวกับความรับผิดชอบและปัญหาความปลอดภัยในแอปพลิเคชันที่สร้างโดย AI ซึ่งสะท้อนข้อกังวลที่เกิดขึ้นในคดี Pandu |
สถานะปัจจุบันและผลกระทบ
ณ วันที่เผยแพร่รายงานความปลอดภัยนี้ แอปยังคงมีให้ใช้งานใน App Store นักวิจัยได้เสนอที่จะช่วยแก้ไขปัญหาด้านความปลอดภัยฟรี แม้ว่าจะยังไม่ชัดเจนว่านักพัฒนาจะยอมรับความช่วยเหลือนี้หรือไม่ เหตุการณ์นี้เป็นการเตือนใจที่ชัดเจนถึงอันตรายที่อาจเกิดขึ้นเมื่อเครื่องมือพัฒนาที่ขับเคลื่อนด้วย AI ถูกใช้โดยไม่มีความรู้หรือการดูแลด้านความปลอดภัยที่เหมาะสม
กรณีนี้ยังแสดงให้เห็นว่าการทำให้การพัฒนาแอปเป็นประชาธิปไตยผ่านเครื่องมือ AI สามารถสร้างความเสี่ยงใหม่ โดยเฉพาะเมื่อแอปพลิเคชันจัดการข้อมูลผู้ใช้ที่ละเอียดอ่อนหรือมุ่งเป้าไปที่กลุ่มประชากรที่เปราะบางเช่นเด็ก หากไม่มีการศึกษาด้านความปลอดภัยและกระบวนการตรวจสอบที่เหมาะสม เครื่องมือเหล่านี้อาจเปิดใช้งานการสร้างแอปพลิเคชันที่ทำให้ผู้ใช้เสี่ยงอย่างร้ายแรง
อ้างอิง: JUST FUCKING SHIP IT (sec vibecoding)
 |
|---|
| ภาพนี้แสดงกระบวนการถอดรหัสที่เกี่ยวข้องกับแอป Pandu ซึ่งแสดงให้เห็นความท้าทายทางเทคนิคที่กล่าวถึงในการแก้ไขข้อบกพร่องด้านความปลอดภัย |