DHS เริ่มทดลองตรวจสอบแอปพลิเคชันด้านความเป็นส่วนตัวและความมั่นคงปลอดภัย

กระทรวงความมั่นคงแห่งมาตุภูมิแห่งสหรัฐอเมริกา หรือ DHS ได้เริ่มต้นทดลองโปรแกรมเพื่อตรวจสอบแอปพลิเคชันร้องขอความช่วยเหลือจากบุคคลที่เกิดเหตุวิกฤต (First Responder) บน Android และ iOS ในด้านความเป็นส่วนตัวและความมั่นคงปลอดภัย โดย 33 แอปพลิเคชันจาก 20 นักพัฒนาถูกตรวจสอบในโปรแกรมเริ่มต้นครั้งนี้ 

32 จาก 33 แอปพลิเคชันมีปัญหาละเมิดความเป็นส่วนตัว

จากการตรวจสอบพบว่า 32 แอปพลิเคชันมีปัญหาเกี่ยวกับความเป็นส่วนตัว โดยมีการยกระดับสิทธิ์การเข้าถึงเกินความจำเป็น เช่น ส่งข้อความ ใช้กล้อง และเข้าถึงลิสต์รายชื่อติดต่อ นอกจากนี้ 18 แอปพลิเคชันถูกระบุว่ามีช่องโหว่ที่สามารถทำ Man-in-the-Middle, การจัดการ SSL Certificate ผิดพลาด หรือ มีการฝัง Credential ลงในโค้ด การตรวจสอบนี้กินเวลาร่วม 3 เดือนรวมถึงฝ่ายสืบสวนได้เตือนไปยังนักพัฒนาแอปพลิเคชันเหล่านั้นแล้ว โดยตามรายงานสื่อของ DHS เมื่อสัปดาห์ที่แล้วกล่าวว่า 14 แอปพลิเคชันจาก 10 นักพัฒนาได้รับการแก้ไขแล้ว

การแก้ไขแต่ละแอปพลิเคชันกินเวลาแค่ 1 ชั่วโมงเท่านั้น

ทาง DHS ยังกล่าวว่านักพัฒนาส่วนใหญ่ที่ถูกแจ้งเตือนใช้เวลาแก้ไขเพียงแต่ 1 ชั่วโมง ซึ่งขั้นตอนการปรับปรุงแก้ไขประกอบด้วย การลบโค้ดเก่าหรือโค้ดที่ไม่ใช้แล้ว เปิดใช้ฟีเจอร์ด้านความปลอดภัยที่ติดมากับตัวระบบปฏิบัติการ รวมถึงเปิดใช้แค่ฟังก์ชันที่จำเป็น นอกจากนี้ทาง DHS ยังเสริมว่าการเริ่มต้นสิ่งนี้เป็นเรื่องสำคัญถึงแม้ว่าจะมีผู้ใช้งานไม่มากที่ใช้แอปพลิเคชัน แต่ผู้ใช้งานต้องการรับและแชร์ข้อมูลสำคัญแบบทันท่วงทีอย่างมั่นคงปลอดภัย ดังนั้นแอปพลิเคชันเหล่านี้ควรจะปลอดภัยจะการโจมตีของมัลแวร์ที่อาจจะทำให้เกิดการใช้งานไม่ได้ตอนที่ผู้ใช้งานตกอยู่ในเหตุการณ์ความเป็นความตายและต้องการใช้แอปพลิเคชันมากที่สุด

สามารถติดตามผลการทดสอบเพิ่มเติมได้ที่ ‘Securing Mobile Applications for First Responders

ที่มา : https://www.bleepingcomputer.com/news/security/dhs-18-of-33-first-responder-apps-affected-by-security-flaws/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …