เช็คด่วน!! 76 iPhone Apps มีช่องโหว่ เสี่ยงถูกดักฟังข้อมูล

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Sudo Security Group ออกมาเปิดเผยถึงช่องโหว่บนแอพพลิเคชันที่ปรากฏบน Apple Store ระบุไม่น้อยกว่า 76 แอพพลิเคชันที่ดำเนินการเข้ารหัส TLS ไม่ได้มาตรฐาน ส่งผลให้ผู้ใช้แอพพลิเคชันเสี่ยงถูกดักฟังข้อมูลและถูกโจมตีแบบ Man-in-the-Middle ได้

Credit: BoBaa22/ShutterStock

76 แอพพลิเคชันที่มีช่องโหว่เป็นแอพพลิเคชันยอดนิยมที่มียอดดาวน์โหลดรวมกันไม่ต่ำกว่า 18 ล้านครั้ง ประกอบด้วยแอพพลิเคชันประเภทเบราเซอร์ ข่าว เกม VPN และ Mobile Banking

Sudo ระบุว่า จริงๆ แล้วแอพพลิเคชันเหล่านี้ปฏิบัติตามคู่มือแนะนำด้านความมั่นคงปลอดภัยของ Apple ATS (Spp Transport Security) ซึ่งบังคับให้การรับส่งข้อมูลสำคัญระหว่างแอพพลิเคชันและเซิร์ฟเวอร์ของนักพัฒนากระทำผ่าน HTTPS อย่างไรก็ตาม นักพัฒนาแอพพลิเคชันบางรายกลับไม่กระทำการ Validate และ Pin HTTPS Certificate อย่างถูกต้องตามคู่มือ ส่งผลให้ผู้ไม่ประสงค์ดี เช่น แฮ็คเกอร์ รวมไปถึง ISP สามารถตั้ง Proxy เพื่อปลอม Certificate แล้วดักจับทราฟฟิกที่เข้ารหัสระหว่างผู้ใช้กับเซิร์ฟเวอร์ของนักพัฒนาได้

ผลวิเคราะห์ทั้ง 76 แอพพลิเคชันจาก Sudo สามารถสรุปได้ดังนี้

  • 19 จาก 76 แอพพลิเคชันเสี่ยงข้อมูลระดับ High-risk รั่วไหล เช่น ข้อมูลการเงิน ข้อมูลการแพทย์ รหัสผ่าน และ Token ที่ใช้พิสูจน์ตัวตนประจำเซสชัน
  • 24 จาก 76 แอพพลิเคชันเสี่ยงข้อมูลระดับ Medium-risk รั่วไหล เช่น รหัสผ่านและ Token ที่ใช้พิสูจน์ตัวตน
  • 33 แอพพลิเคชันที่เหลือเสี่ยงข้อมูลระดับ Low-risk รั่วไหล เช่น อีเมล ชื่อล็อกอิน และข้อมูลเกี่ยวกับฮาร์ดแวร์

สามารถตรวจสอบรายการแอพพลิเคชันที่มีช่องโหว่ได้ที่ https://medium.com/@chronic_9612/76-popular-apps-confirmed-vulnerable-to-silent-interception-of-tls-protected-data-2c9a2409dd1#.ogr31zn0n

ที่มา: https://www.bleepingcomputer.com/news/security/76-popular-ios-apps-vulnerable-to-silent-interception-of-tls-encrypted-data/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[PR] Endless ระบบปฏิบัติการฟรีที่ง่ายต่อการใช้งานพร้อมให้บริการในประเทศไทยแล้ว เจาะกลุ่มผู้ใช้ใหม่สำหรับตลาดคอมพิวเตอร์

กรุงเทพฯ 23 มิถุนายน 2560 – Endless Computers ประกาศเปิดตัวระบบปฏิบัติการ (OS) ในประเทศไทยแล้ววันนี้ สร้างมิติใหม่แก่ตลาดคอมพิวเตอร์ของไทย การเปิดตัวครั้งนี้ยังเป็นการบุกตลาดในภูมิภาคเอเชียตะวันออกเฉียงใต้เป็นครั้งแรกของ Endless อีกด้วย  Endless …

[PR] โลจิเทค เปิดตัวกล้องประชุมทางไกลระดับพรีเมียร์ ‘โลจิเทค มีทอัพ’ เติมเต็มประสิทธิภาพห้องประชุมกลุ่มย่อย ท่ามกลางความนิยมที่เพิ่มขึ้นของการทำงานในพื้นที่เปิดและห้องประชุมขนาดเล็ก พร้อมส่งต่อประสบการณ์ด้านเสียงและวิดีโอที่เหนือกว่า

กรุงเทพฯ, ประเทศไทย –  22 มิถุนายน 2560 – โลจิเทค (SIX: LOGN) (NASDAQ: LOGI) เปิดตัวกล้องประชุมทางไกลระดับพรีเมียร์ โลจิเทค มีทอัพ …