เช็คด่วน!! 76 iPhone Apps มีช่องโหว่ เสี่ยงถูกดักฟังข้อมูล

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Sudo Security Group ออกมาเปิดเผยถึงช่องโหว่บนแอพพลิเคชันที่ปรากฏบน Apple Store ระบุไม่น้อยกว่า 76 แอพพลิเคชันที่ดำเนินการเข้ารหัส TLS ไม่ได้มาตรฐาน ส่งผลให้ผู้ใช้แอพพลิเคชันเสี่ยงถูกดักฟังข้อมูลและถูกโจมตีแบบ Man-in-the-Middle ได้

Credit: BoBaa22/ShutterStock

76 แอพพลิเคชันที่มีช่องโหว่เป็นแอพพลิเคชันยอดนิยมที่มียอดดาวน์โหลดรวมกันไม่ต่ำกว่า 18 ล้านครั้ง ประกอบด้วยแอพพลิเคชันประเภทเบราเซอร์ ข่าว เกม VPN และ Mobile Banking

Sudo ระบุว่า จริงๆ แล้วแอพพลิเคชันเหล่านี้ปฏิบัติตามคู่มือแนะนำด้านความมั่นคงปลอดภัยของ Apple ATS (Spp Transport Security) ซึ่งบังคับให้การรับส่งข้อมูลสำคัญระหว่างแอพพลิเคชันและเซิร์ฟเวอร์ของนักพัฒนากระทำผ่าน HTTPS อย่างไรก็ตาม นักพัฒนาแอพพลิเคชันบางรายกลับไม่กระทำการ Validate และ Pin HTTPS Certificate อย่างถูกต้องตามคู่มือ ส่งผลให้ผู้ไม่ประสงค์ดี เช่น แฮ็คเกอร์ รวมไปถึง ISP สามารถตั้ง Proxy เพื่อปลอม Certificate แล้วดักจับทราฟฟิกที่เข้ารหัสระหว่างผู้ใช้กับเซิร์ฟเวอร์ของนักพัฒนาได้

ผลวิเคราะห์ทั้ง 76 แอพพลิเคชันจาก Sudo สามารถสรุปได้ดังนี้

  • 19 จาก 76 แอพพลิเคชันเสี่ยงข้อมูลระดับ High-risk รั่วไหล เช่น ข้อมูลการเงิน ข้อมูลการแพทย์ รหัสผ่าน และ Token ที่ใช้พิสูจน์ตัวตนประจำเซสชัน
  • 24 จาก 76 แอพพลิเคชันเสี่ยงข้อมูลระดับ Medium-risk รั่วไหล เช่น รหัสผ่านและ Token ที่ใช้พิสูจน์ตัวตน
  • 33 แอพพลิเคชันที่เหลือเสี่ยงข้อมูลระดับ Low-risk รั่วไหล เช่น อีเมล ชื่อล็อกอิน และข้อมูลเกี่ยวกับฮาร์ดแวร์

สามารถตรวจสอบรายการแอพพลิเคชันที่มีช่องโหว่ได้ที่ https://medium.com/@chronic_9612/76-popular-apps-confirmed-vulnerable-to-silent-interception-of-tls-protected-data-2c9a2409dd1#.ogr31zn0n

ที่มา: https://www.bleepingcomputer.com/news/security/76-popular-ios-apps-vulnerable-to-silent-interception-of-tls-encrypted-data/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Efficiency: การใช้ Pure Storage มีประสิทธิภาพและคุ้มค่าเหนือกว่าการใช้ Enterprise Storage อื่นอย่างไร

เพราะระบบ Enterprise Storage มักเป็นระบบที่สำคัญต่อธุรกิจองค์กร การลงทุนในระบบเหล่านี้แต่ละครั้งจึงต้องคำนึงถึงประเด็นด้านประสิทธิภาพและความคุ้มค่ามากเป็นพิเศษ เพื่อให้ระบบดังกล่าวสามารถรองรับการใช้งานของธุรกิจได้อย่างต่อเนื่องยาวนาน และคุ้มค่าสูงที่สุด Pure Storage ในฐานะของผู้นำด้านเทคโนโลยี All Flash Array พร้อมตอบโจทย์ดังกล่าวให้กับธุรกิจองค์กร ด้วย …

Dynatrace Webinar: Enabling DevOps/SRE to Build Better Quality Software with Dynatrace

DPM (Thailand) ร่วมกับ Dynatrace ขอเรียนเชิญ Developers, DevOps Engineer และ SRE เข้าร่วมงานสัมมนาออนไลน์เรื่อง "Enabling DevOps/SRE to Build Better Quality Software with Dynatrace" เพื่อเรียนรู้ว่า Dynatrace Cloud Automation จะช่วยแก้ปัญหาและเพิ่มความเร็วและเสถียรภาพของ DevOps ได้อย่างไร ในวันพฤหัสบดีที่ 25 สิงหาคม 2022 เวลา 14:00 น. ผ่านทาง Live Webinar ฟรี