เช็คด่วน!! 76 iPhone Apps มีช่องโหว่ เสี่ยงถูกดักฟังข้อมูล

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Sudo Security Group ออกมาเปิดเผยถึงช่องโหว่บนแอพพลิเคชันที่ปรากฏบน Apple Store ระบุไม่น้อยกว่า 76 แอพพลิเคชันที่ดำเนินการเข้ารหัส TLS ไม่ได้มาตรฐาน ส่งผลให้ผู้ใช้แอพพลิเคชันเสี่ยงถูกดักฟังข้อมูลและถูกโจมตีแบบ Man-in-the-Middle ได้

Credit: BoBaa22/ShutterStock

76 แอพพลิเคชันที่มีช่องโหว่เป็นแอพพลิเคชันยอดนิยมที่มียอดดาวน์โหลดรวมกันไม่ต่ำกว่า 18 ล้านครั้ง ประกอบด้วยแอพพลิเคชันประเภทเบราเซอร์ ข่าว เกม VPN และ Mobile Banking

Sudo ระบุว่า จริงๆ แล้วแอพพลิเคชันเหล่านี้ปฏิบัติตามคู่มือแนะนำด้านความมั่นคงปลอดภัยของ Apple ATS (Spp Transport Security) ซึ่งบังคับให้การรับส่งข้อมูลสำคัญระหว่างแอพพลิเคชันและเซิร์ฟเวอร์ของนักพัฒนากระทำผ่าน HTTPS อย่างไรก็ตาม นักพัฒนาแอพพลิเคชันบางรายกลับไม่กระทำการ Validate และ Pin HTTPS Certificate อย่างถูกต้องตามคู่มือ ส่งผลให้ผู้ไม่ประสงค์ดี เช่น แฮ็คเกอร์ รวมไปถึง ISP สามารถตั้ง Proxy เพื่อปลอม Certificate แล้วดักจับทราฟฟิกที่เข้ารหัสระหว่างผู้ใช้กับเซิร์ฟเวอร์ของนักพัฒนาได้

ผลวิเคราะห์ทั้ง 76 แอพพลิเคชันจาก Sudo สามารถสรุปได้ดังนี้

  • 19 จาก 76 แอพพลิเคชันเสี่ยงข้อมูลระดับ High-risk รั่วไหล เช่น ข้อมูลการเงิน ข้อมูลการแพทย์ รหัสผ่าน และ Token ที่ใช้พิสูจน์ตัวตนประจำเซสชัน
  • 24 จาก 76 แอพพลิเคชันเสี่ยงข้อมูลระดับ Medium-risk รั่วไหล เช่น รหัสผ่านและ Token ที่ใช้พิสูจน์ตัวตน
  • 33 แอพพลิเคชันที่เหลือเสี่ยงข้อมูลระดับ Low-risk รั่วไหล เช่น อีเมล ชื่อล็อกอิน และข้อมูลเกี่ยวกับฮาร์ดแวร์

สามารถตรวจสอบรายการแอพพลิเคชันที่มีช่องโหว่ได้ที่ https://medium.com/@chronic_9612/76-popular-apps-confirmed-vulnerable-to-silent-interception-of-tls-protected-data-2c9a2409dd1#.ogr31zn0n

ที่มา: https://www.bleepingcomputer.com/news/security/76-popular-ios-apps-vulnerable-to-silent-interception-of-tls-encrypted-data/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือน Z-wave Downgrade Attack อุปกรณ์ IoT กว่า 100 ล้านชิ้นเสี่ยงถูกแฮ็ก

นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ค้นพบวิธีการโจมตีแบบ Downgrade Attack บนอุปกรณ์ IoT ที่ใช้โปรโตคอล Z-wave ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงอุปกรณ์ได้โดยไม่ได้รับอนุญาตแม้ว่าจะใช้กลไกการเข้ารหัสข้อมูลก็ตาม อุปกรณ์ IoT กว่าร้อยล้านชิ้นจากหลายพันยี่ห้อตกอยู่ในความเสี่ยง

Microsoft เพิ่ม Container Images สำเร็จรูปบน Azure Marketplace แล้ว

Microsoft เพิ่ม Container Images สำเร็จรูปลงใน Azure Marketplace เป็นที่เรียบร้อยแล้ว เริ่มต้นใช้งานได้ทันที