ADPT

[BHAsia 2021] แอปพลิเคชันมือถือไม่ละเมิดข้อมูลผู้ใช้ ตามคำประกาศจริงหรือไม่

เมื่อเราติดตั้งแอปพลิเคชันมือถือเรามักจะได้รับข้อความที่แสดงเจตนาการขอเข้าใช้งานข้อมูลบางอย่าง เพื่อนำไปใช้ในการให้บริการ เคยสงสัยไหมว่าจริงหรือไม่ที่แอปพลิเคชันเหล่านั้นจะรักษาข้อตกลงว่าจะไม่ละเมิดสิทธิในข้อมูลอันแสนเปราะบางเหล่านั้น ที่งาน Black Hat Asia 2021 มีงานศึกษาหนึ่งที่ได้เข้าไปทดสอบแอปพลิเคชันกว่า 1,400 ตัว 

จะเห็นได้ว่าไม่กี่ปีที่ผ่านมา มีกฏหมายข้อมูลส่วนบุคคลเกิดขึ้นหลายฉบับ นำร่องมาตั้งแต่ GDPR ก่อนที่หลายประเทศจะออกส่วนของตนให้เหมาะสมกับคนท้องถิ่นนั้น อย่างไรก็ดีจุดประสงค์หลักของกฏหมายก็เพื่อคุ้มครองข้อมูลส่วนบุคคลให้ผู้จะดเก็บและนำไปประมวลผลใส่ใจและมีมาตรการป้องกันอย่างเคร่งครัด รวมถึงกฏหมายยังได้กำหนดบทลงโทษที่รุนแรง

ในมุมของการพัฒนาแอปพลิเคชันเอง Google Play เองก็ได้มีการกำหนดและแจ้งนโยบายด้านการใช้ข้อมูลส่วนตัวของผู้ใช้ ให้นักพัฒนาได้ทราบและปฏิบัติตาม ทั้งนี้คำถามคือแล้วกฏกติกาเหล่านี้ถูกบังคับใช้ได้จริงหรือไม่ ด้วยเหตุนี้เองคุณ Bai Guangdong และ คุณ Zhang Qing ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยมือถือ ได้พัฒนา Framework หนึ่งขึ้นมาเพื่อทดสอบกับแอปพลิเคชัน Android ยอดนิยมใน Google Play เพื่อตรวจสอบข้อสันนิษฐานนั้น รวมถึงเตือนให้ผู้พัฒนาแอปพลิเคชันได้ปรับปรุงตัวเองก่อนจะเป็นอันตรายแก่ผู้ใช้งาน

ปัญหาก็คือเมื่อแอปพลิเคชันได้ข้อมูลไปแล้วมีการนำไปใช้อย่างไร และแชร์ให้ใครหรือไม่ ซึ่งหากนักพัฒนามีการใช้ซ้ำ SDK ยอดนิยมเพื่อทำ Analytics, Online Advertise ก็เป็นไปได้ที่มัลแวร์อาจใช้ช่องทางนี้เข้ามาติดตามผู้ใช้งานได้ โดยหลักคิดเบื้องต้นแล้วผู้เชี่ยวชาญได้กำหนดปัญหาของข้อมูล 4 ส่วนดังนี้

1.) illegal collection – ใช้งานข้อมูลเกินขอบเขตที่แจ้ง เก็บข้อมูลโดยที่ผู้ใช้ยังไม่อนุมัติ เก็บข้อมูลโดยไม่ระบุขอบเขตของการใช้งาน หรือเก็บข้อมูลมากเกินที่ต้องใช้

2.) illegal use – ใช้ข้อมูลโดยที่ผู้ใช้ไม่ทราบหรือไม่แจ้งผู้ใช้

3.) illegal transmission – ส่งข้อมูลอย่างไม่ปลอดภัย (ไม่เข้ารหัส) หรือส่งข้อมูลไปนอกประเทศที่กฏหมายห้าม (Localize)

4.) illegal Storage – เก็บข้อมูลใน SD Card และลบข้อมูลโดยไม่มีสิทธิ

สำหรับตัว Framework เองยังมีเครื่องมือสแกนว่าโดเมนของแอปนั้นน่าเชื่อแค่ไหน มีการแสดง Pop-up แจ้งเรื่อง Privacy ให้ผู้ใช้ทราบหรือไม่ รวมถึงสแกน API ที่เกี่ยวกับข้อมูลผู้ใช้ และยังดูเรื่องทราฟฟิคว่าเป็นอย่างไร สุดท้ายทั้งสองนักวิจัยแล้วได้อาศัยเทคนิคร่วมบางอย่างเพื่อทำให้ Framework สามารถตรวจสอบการทำงานของแอปพลิเคชันอย่างอัตโนมัติ ซึ่งผลลัพธ์สุดท้ายจากการทดสอบแอปพลิเคชันกว่า 1,490 ตัวบน Google สรุปได้ดังนี้

  • มีแอปพลิเคชันถึง 1,229 ตัวที่เข้าถึงข้อมูลส่วนบุคคล ซึ่งในส่วนที่นักวิจัยเล็งเห็นว่าเป็นข้อมูลสุ่มเสี่ยงอันตราย คือ พิกัด IMEI เซ็นเซอร์ ซิมการ์ด Contact และ ข้อความ
  • สำหรับจำนวนการเรียกใช้ API เพื่อเข้าถึงข้อมูลสำคัญพบว่า IMEI เป็นข้อมูลที่ถูกเข้าถึงมากที่สุด รองลงมาคือซิมการ์ด และเซ็นเซอร์ตามลำดับ

สำหรับผู้ใช้งานนักวิจัยได้แนะนำว่าให้อัปเดต OS ซึ่งถ้าเป็น Android เวอร์ชัน 10 และ 11 จะมีวิธีจำกัดการใช้งานข้อมูลอย่างเข้มงวด เช่นเดียวกับ iOS ก็ควรจะเป็นเวอร์ชันล่าสุดเช่นกัน นอกจากนี้ผู้ใช้ก็ต้องรับผิดชอบตัวเองด้วยการตรวจสอบการตั้งค่าสิทธิของ OS และแอปพลิเคชันเองด้วย


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cohesity Webinar: How Business Resilience Is More Than Just Backup เมื่อการสร้างความมั่นคงให้กับธุรกิจ ต้องอาศัยมากกว่าเพียงแค่ Backup [25 มิ.ย. 2021 – 14.00]

TechTalkThai ขอเรียนเชิญ CTO, CIO, IT Manager, Data Center Engineer, Virtualization Engineer, Storage Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมชม Webinar ในหัวข้อ "How Business Resilience Is More Than Just Backup การสร้างความมั่นคงให้กับธุรกิจ ต้องมีมากกว่าเพียงแค่ Backup" เพื่อทำความรู้จักกับโซลูชันการสำรองข้อมูล, การป้องกัน Ransomware, การเสริมความมั่นคงทนทานให้กับข้อมูล และการต่อยอดนำข้อมูลที่สำรองเอาไว้มาใช้สร้างคุณค่าใหม่ๆ ในองค์กร ในวันศุกร์ที่ 25 มิถุนายน 2021 เวลา 14.00น. - 15.30น. โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานดังนี้

IBM Webinar: Distributed Cloud Made Real: Build Faster. Securely. Anywhere [23 มิ.ย. 2021 – 10.00น.]

TechTalkThai ขอเรียนเชิญ CTO, CIO, IT Manager, Cloud Engineer, Data Center Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมชม …