มีข่าวมาฝาก แอพสมาร์ทโฟนส่วนใหญ่"ไม่ปลอดภัย"?

แอพสมาร์ทโฟนส่วนใหญ่"ไม่ปลอดภัย"?

เอ.อาร์.ไอ.พี, www.arip.co.th] งานวิจัยชิ้นล่าสุดโดย viaForensics บริษัทผู้เชี่ยวชาญทางด้านระบบรักษาความปลอดภัยระบุว่า แอพพลิเคชันยอดนิยมที่รันบนสามาร์ทโฟน Android ของ Google และ iOS ของ Apple ประมาณ 76% เก็บชื้อผู้ใช้ (username) ในรูปของข้อความธรรมดา (plaintext) ในขณะที่ประมาณ 10% เก็บรหัสผ่าน (password) โดยไม่เข้ารหัส

ทั้งนี้ นักวิจัยจาก viaForensics ได้ทดสอบแอพยอดนิยมของผู้บริโภค 100 ตัวบนระบบปฏิบัติการทั้งสอง รวมถึงแอพทีใช้งานบนอุปกรณ์อย่าง iPhone, iPad และ iPod Touch ซึ่งปรากฎว่า แอพพลิเคชันเหล่านี้จะเก็บข้อมูลไว้ในเครื่อง โดยเฉพาะ usernames ที่เป็นข้อความธรรมดาที่สามารถอ่านได้อย่างง่ายดาย "ในการเข้าถึงระบบส่วนใหญ่จะต้องการแค่ username และ password ดังนั้นการที่สามารถรู้ username ได้ทันที นั่นก็หมายถึงปริศนาของการแฮคถูกแก้ไปแล้ว 50%" ข้อความจากรายงานฉบับดังกล่าว "นอกจากนี้ ผู้ใช้มักจะมีพฤติกรรมการใช้ username ซ้ำ ดังนั้น แฮคเกอร์สามารถใช้ username ที่ได้จากสามาร์ทโฟน เพื่อแฮคบริการบนออนไลน์อื่นๆ ได้ด้วย" แต่ที่แย่ยิ่งกว่าก็คือ บางแอพพลิเคชันไม่มีการเข้ารหัสข้อมูลสำคัญๆ ซึ่งรวมถึง รหัสผ่าน หรือ password ด้วย

"ข้อมูลที่มีความอ่อนไหวบนสมาร์ทโฟนถือเป็นจุดล่อแหลมที่ทำให้ผู้ใช้ตกอยู่ในความเสี่ยง เนื่องจากอุปกรณ์พวกนี้มักจะพบว่ามีการทำหายบ่อยๆ หรือโอนไปให้ผู้อื่นใช้ นอกจากนี้ มัลแวร์ปัจจุบันยังสามารถเข้าไปดึงข้อมูลเหล่านี้ออกมาได้อีกด้วย" ข้อมูลที่เปิดเผยในรายงานฉบับนี้ยังระบุอีกด้วยว่า "ความเสี่ยงที่น่ากลัวยิ่งกว่า อย่างเช่น การจัดเก็บพาสเวิร์ด หรือหมายเลขบัตรเครดิต ไว้บนสมาร์ทโฟนของคุณ" ในแอพพลิเคชันที่ทางบริษัทได้นำมาทดสอบ แอพโซเชียลเน็ตเวิร์กจะมีระบบรักษาความปลอดภัยแย่ที่สุด โดย 74% ของแอพฯในหมวดนี้ถือว่า ล้มเหลว เนื่องจากมันเปิดโอกาสให้สามารถค้นหา และระบุข้อมูลสำคัญๆ อย่างเช่น พาสเวิร์ด หรือหมายเลขบัญชีต่างๆ ได้ "การค้นพบข้อมูลสำคัญๆ เหล่านี้ทำให้ผู้ใช้ตกอยู่ในความเสี่ยงสูง โดยเฉพาะการปลอมตัว เพื่อขโมยเงินออกไปจากบัญชี"

หากพิจารณาแยกเป็นหมวดของแอพพลิเคชันว่าปลอดภัยแค่ไหน แอพพลิเคชันใช้งานทั่วไปที่ทดสอบพบว่าไม่ปลอดภัย (เจาะข้อมูลไปใช้ได้) ประมาณ 43% แอพทางด้านการเงินบนมือถือที่ล้มเหลวต่อระบบความปลอดภัยประมาณ 25% และแอพของบรรดาค้าปลีก ประมาณ 14% ประเด็นทีทำให้แอพฯเหล่านี้ล้มเหลวในระบบรักษาความปลอดภัยก็คือ การไม่เข้ารหัสข้อมูลสำคัญๆ นั่นเอง

คราวนี้มาเจาะในรายละเอียดของแอพฯ ต่างๆ ที่ได้มีการทดสอบบนแพลตฟอร์มทั้งสองกันบ้างดีกว่า สำหรับแอพอย่าง Hushmail, LinkedIn, Skype และ WordPress จะถูกให้คะแนนต่ำสุดในเรื่องของความปลอดภัยของข้อมูลสำคัญๆ ที่เก็บไว้บนเครื่อง แต่หากเป็นบนแพลตฟอร์ม Android อย่างเดียว ก็จะมีแอพพลิเคชันอย่าง Andriod Mail (Exchange และ Hotmail), Gmail, Netflix และ Yahoo Mail สำหรับแอพบน iOS ที่เก็บข้อมูลสำคัญๆ ไว้อย่างไม่ปลอดภัยก็จะมี Chase (สำหรับธนาคาร) และ iPhone mail (Exchange และ Gmail) ในรายงานยังระบุอีกว่า แอพพิลเคชันส่วนใหญ่จัดเก็บข้อมูลทั่วๆ ไปโดยไม่เข้ารหัส อย่างเช่น Amazon.com, BestBuy, Facebook และ Twitter

ในส่วนของข้อสรุปของความปลอดภัยโดยรวม viaForensics กล่าวว่า ผู้ใช้อุปกรณ์ iOS จะได้รับการปกป้องข้อมูลที่ดีกว่า โดยไม่คำนึงถึงว่า นักพัฒนาจะจัดการกับข้อมูลอย่างไร "ว่ากันแฟร์ๆ แล้ว Apple มีความพยายามที่จะป้องกันข้อมูลที่อยู่ในอุปกรณ์ iOS มากกว่า Android อย่างไรก็ตาม ผู้ใช้ก็ยังเผชิญกับความเสี่ยงต่อการโดนโจมตีจากพวกมัลแวร์ที่สามารถปรับแต่งการทำงานของระบบ หรือจากการกู้ข้อมูลบนอุปกรณ์ที่ผู้ใช้ทำหาย หรือถูกขโมย" ทั้งนี้เมื่อต้นปี Google ออก Android 3.0 Honeycomb ซึ่งจะมีการเข้ารหัสส่วนข้อมูลของผู้ใช้ (user partition) บนอุปกรณ์ Android แต่ประเด็นคือ โอเอสตัวนี้จะทำงานบน"แท็บเล็ต"ไม่ใช่สมาร์ทโฟน "ผลลัพธ์คือ หากสมาร์ทโฟนหาย หรือถูกขโมย ตลอดจนโดนมัลแวร์ แฮคเกอร์จะสามารถ root อุปกรณ์ Android เพื่อเข้าถึงข้อมูลต่างๆ โดยเฉพาะ user partition และข้อมูลในนั้นได้" นอกจากนี้ ทางบริษัทยังเตือนอีกว่า ความปลอดภัยของอุปกรณ์ iOS ขึ้นอยู่กับการใช้ฟังก์ชันต่างๆ ของยูสเซอร์ด้วย "หากผู้ใช้ iPhone ไม่ได้เปิดฟังก์ชันการป้องกันข้อมูลด้วยการกำหนด passcode ไฟล์ต่างๆ ก็ไม่ได้ับการป้องกันไปโดยปริยาย ยิ่งไปกว่านัน ปัจจุบันมีเครืองมือต่างๆ มากมายที่จะแก้ passcode โดยความยากง่ายในการเจาะรหัสดังกล่าวก็ขึ้นอยู่กับความแข็งแรงของ passcode ที่ผู้ใช้ตั้งด้วย"

ขอบคุณข้อมูลจาก http://www.arip.co.th/news.php?id=414164

เว็บไซต์ในข่าว: viaforensic

เสาวรักษ์