204/69 (IT) ประจำวันศุกร์ที่ 10 เมษายน 2569
นักวิจัยจาก CloudSEK เปิดเผยการตรวจพบ Google API keys ที่ถูกฝังรหัส (Hardcoded) ไว้ในแอปพลิเคชัน Android ยอดนิยม 22 แอป รวม 32 คีย์ ซึ่งมียอดผู้ใช้งานรวมกันมากกว่า 500 ล้านราย โดยคีย์เหล่านี้อาจถูกนำไปใช้เข้าถึงบริการ Gemini AI ได้โดยไม่ได้รับอนุญาต สอดคล้องกับงานวิจัยจาก Quokka ที่พบคีย์ลักษณะเดียวกันกว่า 35,000 รายการในแอป Android ราว 250,000 แอป และ Truffle Security ที่รายงานการตรวจพบคีย์เกือบ 3,000 รายการบนเว็บไซต์สาธารณะซึ่งสามารถใช้ยืนยันตัวตนกับ Gemini ได้เช่นกัน
ความเสี่ยงสำคัญอยู่ที่คีย์รูปแบบ “AIza…” ซึ่งเดิมมักถูกมองว่าเป็นเพียงข้อมูลระบุสำหรับบริการอย่าง Google Maps หรือ Firebase แต่เมื่อมีการเปิดใช้ Gemini หรือ Generative Language API บนโปรเจกต์เดียวกัน คีย์เดิมเหล่านี้อาจได้รับสิทธิ์เข้าถึง Gemini endpoints อัตโนมัติ โดยที่นักพัฒนาอาจไม่ทราบ เมื่อคีย์ถูกดึงออกจากแอปที่สามารถถอดโค้ดได้ ผู้ไม่หวังดีอาจนำไปใช้เรียก Gemini API เข้าถึงไฟล์ที่อัปโหลดหรือข้อมูลที่แคชไว้ รวมถึงใช้โควตาจนก่อให้เกิดค่าใช้จ่ายในบัญชีของเจ้าของโปรเจกต์
ความรุนแรงของสถานการณ์ดังกล่าวตอกย้ำว่า แอป Android สามารถถูกถอดรหัสเพื่อตรวจสอบและสกัดคีย์ออกไปได้ง่ายผ่านระบบอัตโนมัติในวงกว้าง แม้ผลกระทบโดยตรงจะเกิดขึ้นกับทรัพยากร Gemini ของนักพัฒนา แต่ผู้เชี่ยวชาญเตือนว่าหากแอปมีการประมวลผลหรืออัปโหลดข้อมูลของผู้ใช้จริง ข้อมูลเหล่านั้นมีความเสี่ยงที่จะรั่วไหลทางอ้อมได้เช่นกัน สะท้อนให้เห็นว่าคีย์ที่เคยถูกมองว่าเป็นข้อมูลทั่วไป กำลังกลายเป็นข้อมูลรับรองที่มีความเสี่ยงสูง