CDIC 2023

ผลสำรวจพบแอปพลิเคชันบน iOS กว่า 67% ไม่ใช้งานฟีเจอร์ App Transport Security

App Transport Security (ATS) เป็นฟีเจอร์ที่มีมาตั้งแต่ iOS 9 เพื่อบล็อกการเชื่อมต่อของ HTTP ระหว่างแอปและเซิร์ฟเวอร์ทางไกล โดยมีผลสำรวจจาก Wandera ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ที่เข้าสำรวจแอปกว่า 30,000 ตัวพบว่า 67.7% เลือกที่จะปิดฟีเจอร์ ATS ทิ้งในการใช้งาน

อันที่จริงแล้วในปี 2016 ทาง Apple ได้ประกาศแผนที่จะทำให้การใช้ ATS เป็นเรื่องจำเป็นสำหรับแอป iOS ในต้นปี 2017 เพียงแต่ว่าก็มีเหตุบางอย่างให้ต้องล้มเลิกไปเพียงสัปดาห์เดียวก่อนถึงกำหนดที่ตนลั่นวาจาไว้ อย่างไรก็ดี ATS นั้นจะถูกเปิดเป็นค่าพื้นฐานเสมอทำให้นักพัฒนาต้องเข้ามาปิดเอง เช่น กรณีที่ต้องการเชื่อมต่อกับโดเมนที่เป็น HTTP เป็นต้น โดยจากการศึกษาของ Wandera พบว่าสาเหตุสำคัญของการไม่ใช้งานฟีเจอร์ ATS ก็คือ ad framework/networks มักมีการแนะนำในคู่มือให้นักพัฒนาปิดฟีเจอร์ดังกล่าวในแอปไว้เพื่อป้องกันความผิดพลาดในการเชื่อมต่อกับเซิร์ฟเวอร์โฆษณานั่นเอง

โดยมีสถิติชี้ถึงความสัมพันธ์ของแอปพลิเคชันที่เสียเงินว่ามีแนวโน้มที่จะใช้งานฟีเจอร์ ATS มากกว่าเพราะไม่ค่อยง้อการโฆษณาต่างกับแอปที่ให้ใช้ฟรี (ตามรูปด้านบน) อย่างไรก็ตามจำไว้ว่าแอปพลิเคชันที่ไม่ใช้ ATS นี้ไม่ได้หมายความว่าแอปเหล่านั้นจะไม่ใช้ HTTPS นอกจากนี้มีสถิติอื่นจาก Wandera คือมีแอป 27% เท่านั้นที่เปิดใช้ฟีเจอร์ ATS เพื่อบล็อก Plaintext บน HTTP แต่ 5.3% ที่ใช้ ATS มีการยกเว้นไว้กับบางโดเมน

ที่มาและเครดิตรูปภาพ :  https://www.zdnet.com/article/two-thirds-of-ios-apps-disable-ats-an-ios-security-feature/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[โปรพิเศษรอบ Early Bird] คอร์สเรียน ‘Incident Response’ จาก Sosecure เรียนออนไลน์ เน้นลงมือจริง 3 วันเต็ม

Incident Response เป็นหนึ่งในหัวข้อหลักของแผนการที่ทุกองค์กรควรมือ คำถามคือทุกวันนี้องค์กรหรือบริษัทที่ท่านมีส่วนรวมมีแผนรับมือเหล่านี้ได้ดีเพียงใด ครอบคลุมความเสี่ยงและเคยผ่านสถานการณ์จริงมาได้ดีแค่ไหน ซึ่งหากปฏิบัติตามแผนได้ดีก็อาจจะช่วยลดผลกระทบของความเสียหายได้อย่างมีนัยสำคัญ ด้วยเหตุนี้เองจึงอยากขอเชิญชวนผู้สนใจทุกท่านมาเพิ่มพูนความรู้ในคอร์สสุดพิเศษจาก Sosecure โดยเนื้อหาจะกล่าวถึง Framework, Incident Response และ Incident Handling …

[โปรพิเศษรอบ Early Bird] คอร์สเรียน ‘Threat Hunting’ จาก Sosecure เรียนออนไลน์ เน้นลงมือจริง 3 วันเต็ม

การต่อกรกับภัยคุกคามทางไซเบอร์ไม่จำเป็นที่จะต้องเป็นฝ่ายตั้งรับเท่านั้น และหากทำได้ดีเราก็สามารถลงมือตอบสนองก่อนเกิดเหตุได้เช่นกัน ยิ่งทำได้เร็วเท่าไหร่ยิ่งดี ซึ่งทีม Threat Hunting มีบทบาทอย่างมากในการทำงานร่วมกับระบบ SoC ซึ่งสามารถใช้ข้อมูลภัยคุกคามจากทั่วทุกมุมโลกมาช่วยตรวจจับการโจมตีที่เกิดขึ้นได้  คำถามคือแล้วในงานเหล่านี้ควรมีทักษะเกี่ยวข้องในด้านไหนบ้าง Sosecure ขอชวนผู้สนใจในสายงานด้าน Cybersecurity ที่ต้องการรู้ลึก ทำได้จริง …