เช็คด่วน!! 76 iPhone Apps มีช่องโหว่ เสี่ยงถูกดักฟังข้อมูล

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Sudo Security Group ออกมาเปิดเผยถึงช่องโหว่บนแอพพลิเคชันที่ปรากฏบน Apple Store ระบุไม่น้อยกว่า 76 แอพพลิเคชันที่ดำเนินการเข้ารหัส TLS ไม่ได้มาตรฐาน ส่งผลให้ผู้ใช้แอพพลิเคชันเสี่ยงถูกดักฟังข้อมูลและถูกโจมตีแบบ Man-in-the-Middle ได้

Credit: BoBaa22/ShutterStock

76 แอพพลิเคชันที่มีช่องโหว่เป็นแอพพลิเคชันยอดนิยมที่มียอดดาวน์โหลดรวมกันไม่ต่ำกว่า 18 ล้านครั้ง ประกอบด้วยแอพพลิเคชันประเภทเบราเซอร์ ข่าว เกม VPN และ Mobile Banking

Sudo ระบุว่า จริงๆ แล้วแอพพลิเคชันเหล่านี้ปฏิบัติตามคู่มือแนะนำด้านความมั่นคงปลอดภัยของ Apple ATS (Spp Transport Security) ซึ่งบังคับให้การรับส่งข้อมูลสำคัญระหว่างแอพพลิเคชันและเซิร์ฟเวอร์ของนักพัฒนากระทำผ่าน HTTPS อย่างไรก็ตาม นักพัฒนาแอพพลิเคชันบางรายกลับไม่กระทำการ Validate และ Pin HTTPS Certificate อย่างถูกต้องตามคู่มือ ส่งผลให้ผู้ไม่ประสงค์ดี เช่น แฮ็คเกอร์ รวมไปถึง ISP สามารถตั้ง Proxy เพื่อปลอม Certificate แล้วดักจับทราฟฟิกที่เข้ารหัสระหว่างผู้ใช้กับเซิร์ฟเวอร์ของนักพัฒนาได้

ผลวิเคราะห์ทั้ง 76 แอพพลิเคชันจาก Sudo สามารถสรุปได้ดังนี้

  • 19 จาก 76 แอพพลิเคชันเสี่ยงข้อมูลระดับ High-risk รั่วไหล เช่น ข้อมูลการเงิน ข้อมูลการแพทย์ รหัสผ่าน และ Token ที่ใช้พิสูจน์ตัวตนประจำเซสชัน
  • 24 จาก 76 แอพพลิเคชันเสี่ยงข้อมูลระดับ Medium-risk รั่วไหล เช่น รหัสผ่านและ Token ที่ใช้พิสูจน์ตัวตน
  • 33 แอพพลิเคชันที่เหลือเสี่ยงข้อมูลระดับ Low-risk รั่วไหล เช่น อีเมล ชื่อล็อกอิน และข้อมูลเกี่ยวกับฮาร์ดแวร์

สามารถตรวจสอบรายการแอพพลิเคชันที่มีช่องโหว่ได้ที่ https://medium.com/@chronic_9612/76-popular-apps-confirmed-vulnerable-to-silent-interception-of-tls-protected-data-2c9a2409dd1#.ogr31zn0n

ที่มา: https://www.bleepingcomputer.com/news/security/76-popular-ios-apps-vulnerable-to-silent-interception-of-tls-encrypted-data/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พูดคุยกับ Synology: ก้าวผ่านการเป็นผู้ผลิต NAS Storage สู่ทุกการสื่อสารสำหรับธุรกิจและองค์กร

เรื่องราวในบทความนี้จะเป็นการสรุปการเปลี่ยนธุรกิจของ Synology ที่ไม่ได้เป็นเพียงแค่ NAS Storage สำหรับทำ File Sharing อีกต่อไป แต่ Synology กำลังก้าวเข้าสู่การเป็นผู้พัฒนาเทคโนโลยี Collaboration ครบวงจรที่มีทั้ง Chat, …

[PR] Netway Communication ขอเชิญผู้มีเกียรติทุกท่านร่วมงานขอบคุณประจำปี พร้อมสัมผัสตัวอย่าง Microsoft 365 ของจริงก่อนใครวันนี้

เนื่องจากคุณคือคนสำคัญสำหรับเราเสมอ ในโอกาสส่งท้ายปี 2560 นี้ เราจึงจัดงานเลี้ยงสังสรรค์แบบเป็นกันเองเพื่อสร้างโอกาสในการพูดคุยและสนทนาแลกเปลี่ยนความคิดเห็นเกี่ยวกับบริการและข้อเสนอแนะต่างๆ ร่วมกันค่ะ แต่ไม่หมดเพียงเท่านั้น โอกาสนี้เรายังได้นำ Microsoft 365 ติดตั้งจริงมาให้ดูชมกันแบบใกล้ชิดติดจอด้วยค่ะ โซลูชั่น Microsoft 365 นี้เป็นของใหม่ล่าสุดที่บวกเอาทั้ง Office …