[BHAsia 2021] แอปพลิเคชันมือถือไม่ละเมิดข้อมูลผู้ใช้ ตามคำประกาศจริงหรือไม่

เมื่อเราติดตั้งแอปพลิเคชันมือถือเรามักจะได้รับข้อความที่แสดงเจตนาการขอเข้าใช้งานข้อมูลบางอย่าง เพื่อนำไปใช้ในการให้บริการ เคยสงสัยไหมว่าจริงหรือไม่ที่แอปพลิเคชันเหล่านั้นจะรักษาข้อตกลงว่าจะไม่ละเมิดสิทธิในข้อมูลอันแสนเปราะบางเหล่านั้น ที่งาน Black Hat Asia 2021 มีงานศึกษาหนึ่งที่ได้เข้าไปทดสอบแอปพลิเคชันกว่า 1,400 ตัว 

จะเห็นได้ว่าไม่กี่ปีที่ผ่านมา มีกฏหมายข้อมูลส่วนบุคคลเกิดขึ้นหลายฉบับ นำร่องมาตั้งแต่ GDPR ก่อนที่หลายประเทศจะออกส่วนของตนให้เหมาะสมกับคนท้องถิ่นนั้น อย่างไรก็ดีจุดประสงค์หลักของกฏหมายก็เพื่อคุ้มครองข้อมูลส่วนบุคคลให้ผู้จะดเก็บและนำไปประมวลผลใส่ใจและมีมาตรการป้องกันอย่างเคร่งครัด รวมถึงกฏหมายยังได้กำหนดบทลงโทษที่รุนแรง

ในมุมของการพัฒนาแอปพลิเคชันเอง Google Play เองก็ได้มีการกำหนดและแจ้งนโยบายด้านการใช้ข้อมูลส่วนตัวของผู้ใช้ ให้นักพัฒนาได้ทราบและปฏิบัติตาม ทั้งนี้คำถามคือแล้วกฏกติกาเหล่านี้ถูกบังคับใช้ได้จริงหรือไม่ ด้วยเหตุนี้เองคุณ Bai Guangdong และ คุณ Zhang Qing ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยมือถือ ได้พัฒนา Framework หนึ่งขึ้นมาเพื่อทดสอบกับแอปพลิเคชัน Android ยอดนิยมใน Google Play เพื่อตรวจสอบข้อสันนิษฐานนั้น รวมถึงเตือนให้ผู้พัฒนาแอปพลิเคชันได้ปรับปรุงตัวเองก่อนจะเป็นอันตรายแก่ผู้ใช้งาน

ปัญหาก็คือเมื่อแอปพลิเคชันได้ข้อมูลไปแล้วมีการนำไปใช้อย่างไร และแชร์ให้ใครหรือไม่ ซึ่งหากนักพัฒนามีการใช้ซ้ำ SDK ยอดนิยมเพื่อทำ Analytics, Online Advertise ก็เป็นไปได้ที่มัลแวร์อาจใช้ช่องทางนี้เข้ามาติดตามผู้ใช้งานได้ โดยหลักคิดเบื้องต้นแล้วผู้เชี่ยวชาญได้กำหนดปัญหาของข้อมูล 4 ส่วนดังนี้

1.) illegal collection – ใช้งานข้อมูลเกินขอบเขตที่แจ้ง เก็บข้อมูลโดยที่ผู้ใช้ยังไม่อนุมัติ เก็บข้อมูลโดยไม่ระบุขอบเขตของการใช้งาน หรือเก็บข้อมูลมากเกินที่ต้องใช้

2.) illegal use – ใช้ข้อมูลโดยที่ผู้ใช้ไม่ทราบหรือไม่แจ้งผู้ใช้

3.) illegal transmission – ส่งข้อมูลอย่างไม่ปลอดภัย (ไม่เข้ารหัส) หรือส่งข้อมูลไปนอกประเทศที่กฏหมายห้าม (Localize)

4.) illegal Storage – เก็บข้อมูลใน SD Card และลบข้อมูลโดยไม่มีสิทธิ

สำหรับตัว Framework เองยังมีเครื่องมือสแกนว่าโดเมนของแอปนั้นน่าเชื่อแค่ไหน มีการแสดง Pop-up แจ้งเรื่อง Privacy ให้ผู้ใช้ทราบหรือไม่ รวมถึงสแกน API ที่เกี่ยวกับข้อมูลผู้ใช้ และยังดูเรื่องทราฟฟิคว่าเป็นอย่างไร สุดท้ายทั้งสองนักวิจัยแล้วได้อาศัยเทคนิคร่วมบางอย่างเพื่อทำให้ Framework สามารถตรวจสอบการทำงานของแอปพลิเคชันอย่างอัตโนมัติ ซึ่งผลลัพธ์สุดท้ายจากการทดสอบแอปพลิเคชันกว่า 1,490 ตัวบน Google สรุปได้ดังนี้

• มีแอปพลิเคชันถึง 1,229 ตัวที่เข้าถึงข้อมูลส่วนบุคคล ซึ่งในส่วนที่นักวิจัยเล็งเห็นว่าเป็นข้อมูลสุ่มเสี่ยงอันตราย คือ พิกัด IMEI เซ็นเซอร์ ซิมการ์ด Contact และ ข้อความ
• สำหรับจำนวนการเรียกใช้ API เพื่อเข้าถึงข้อมูลสำคัญพบว่า IMEI เป็นข้อมูลที่ถูกเข้าถึงมากที่สุด รองลงมาคือซิมการ์ด และเซ็นเซอร์ตามลำดับ

สำหรับผู้ใช้งานนักวิจัยได้แนะนำว่าให้อัปเดต OS ซึ่งถ้าเป็น Android เวอร์ชัน 10 และ 11 จะมีวิธีจำกัดการใช้งานข้อมูลอย่างเข้มงวด เช่นเดียวกับ iOS ก็ควรจะเป็นเวอร์ชันล่าสุดเช่นกัน นอกจากนี้ผู้ใช้ก็ต้องรับผิดชอบตัวเองด้วยการตรวจสอบการตั้งค่าสิทธิของ OS และแอปพลิเคชันเองด้วย