เช็คด่วน!! 76 iPhone Apps มีช่องโหว่ เสี่ยงถูกดักฟังข้อมูล

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Sudo Security Group ออกมาเปิดเผยถึงช่องโหว่บนแอพพลิเคชันที่ปรากฏบน Apple Store ระบุไม่น้อยกว่า 76 แอพพลิเคชันที่ดำเนินการเข้ารหัส TLS ไม่ได้มาตรฐาน ส่งผลให้ผู้ใช้แอพพลิเคชันเสี่ยงถูกดักฟังข้อมูลและถูกโจมตีแบบ Man-in-the-Middle ได้

Credit: BoBaa22/ShutterStock

76 แอพพลิเคชันที่มีช่องโหว่เป็นแอพพลิเคชันยอดนิยมที่มียอดดาวน์โหลดรวมกันไม่ต่ำกว่า 18 ล้านครั้ง ประกอบด้วยแอพพลิเคชันประเภทเบราเซอร์ ข่าว เกม VPN และ Mobile Banking

Sudo ระบุว่า จริงๆ แล้วแอพพลิเคชันเหล่านี้ปฏิบัติตามคู่มือแนะนำด้านความมั่นคงปลอดภัยของ Apple ATS (Spp Transport Security) ซึ่งบังคับให้การรับส่งข้อมูลสำคัญระหว่างแอพพลิเคชันและเซิร์ฟเวอร์ของนักพัฒนากระทำผ่าน HTTPS อย่างไรก็ตาม นักพัฒนาแอพพลิเคชันบางรายกลับไม่กระทำการ Validate และ Pin HTTPS Certificate อย่างถูกต้องตามคู่มือ ส่งผลให้ผู้ไม่ประสงค์ดี เช่น แฮ็คเกอร์ รวมไปถึง ISP สามารถตั้ง Proxy เพื่อปลอม Certificate แล้วดักจับทราฟฟิกที่เข้ารหัสระหว่างผู้ใช้กับเซิร์ฟเวอร์ของนักพัฒนาได้

ผลวิเคราะห์ทั้ง 76 แอพพลิเคชันจาก Sudo สามารถสรุปได้ดังนี้

  • 19 จาก 76 แอพพลิเคชันเสี่ยงข้อมูลระดับ High-risk รั่วไหล เช่น ข้อมูลการเงิน ข้อมูลการแพทย์ รหัสผ่าน และ Token ที่ใช้พิสูจน์ตัวตนประจำเซสชัน
  • 24 จาก 76 แอพพลิเคชันเสี่ยงข้อมูลระดับ Medium-risk รั่วไหล เช่น รหัสผ่านและ Token ที่ใช้พิสูจน์ตัวตน
  • 33 แอพพลิเคชันที่เหลือเสี่ยงข้อมูลระดับ Low-risk รั่วไหล เช่น อีเมล ชื่อล็อกอิน และข้อมูลเกี่ยวกับฮาร์ดแวร์

สามารถตรวจสอบรายการแอพพลิเคชันที่มีช่องโหว่ได้ที่ https://medium.com/@chronic_9612/76-popular-apps-confirmed-vulnerable-to-silent-interception-of-tls-protected-data-2c9a2409dd1#.ogr31zn0n

ที่มา: https://www.bleepingcomputer.com/news/security/76-popular-ios-apps-vulnerable-to-silent-interception-of-tls-encrypted-data/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Salesforce นำเสนอโซลูชั่น AI ใหม่ล่าสุด ต่อยอดนวัตกรรมเพื่อยกระดับ Customer Experience ให้ธุรกิจทั่วโลก [Guest Post]

กรุงเทพฯ, ประเทศไทย, 8 มิถุนายน 2566 – เมื่อเร็ว ๆ นี้ Salesforce (เซลส์ฟอร์ซ) ประกาศเปิดตัวนวัตกรรม AI ล่าสุดหลายรายการสำหรับ Data …

Google เปิดตัว Secure AI Framework แนวทางการสร้าง AI อย่างปลอดภัย

Google เปิดตัว Secure AI Framework ช่วยแนะนำแนวทางการสร้าง AI อย่างปลอดภัย