IBM Flashsystem

นักวิจัยระบุหลายล้านแอปพลิเคชันเผยข้อมูลผู้ใช้ผ่าน SDK การโฆษณา

ในงาน RSA ที่จัดขึ้นที่ประเทศสหรัฐอเมริกานักวิจัยจาก Kaspersky Lab ได้เผยถึงงานวิจัยว่า “มีแอปพลิเคชันหลายล้าน รวมถึง SDK จาก Thrid-party เผยให้เห็นถึงข้อมูลส่วนบุคคลที่สามารถดักจับและแก้ไขเปลี่ยนแปลงได้ง่าย ซึ่งอาจนำไปสู่การติดมัลแวร์ Blackmail หรือการโจมตีในรูปแบบอื่นต่ออุปกรณ์ต่อไป

 

Credit: watcharakun/ShutterStock

นาย Roman Unuchek ได้กล่าวถึงว่าปัญหาคือข้อมูลนั้นถูกส่งผ่าน HTTP จะถูกดักจับได้ง่ายเพราะไม่มีการป้องกันและถูกแชร์อยู่ในเครือข่าย Wi-Fi หรือ ISP เดียวกัน แม้กระทั่งมัลแวร์ที่อาจฝังอยู่ในเร้าเตอร์ตามบ้านเอง โดยข้อมูลที่ไม่มีการปกป้องเหล่านี้สามารถถูกผู้ร้ายแก้ไขเปลี่ยนแปลง เช่น แก้ไขเพื่อแสดงโฆษณาอันตราย ล่อลวงให้ผู้ใช้โหลด Trojan มาติดตั้งเพื่อนำไปสู่มัลแวร์อื่นๆ ต่อไป เมื่อสืบเสาะกลับไปที่ต้นตอของปัญหาพบว่านักพัฒนาใช้ SDK ที่ผูกติดกับเครือข่ายโฆษณาที่ได้รับความนิยมเพื่อประหยัดเวลา อย่างไรก็ตาม Kaspersky พบว่า SDK เหล่านั้นมีช่องโหว่เนื่องจากไม่มีการปกป้องข้อมูลที่ถูกส่งระหว่างแอปพลิเคชันและเซิร์ฟเวอร์เพื่อการโฆษณา ซึ่งมีแอปพลิเคชันหลายล้านใช้งาน SDK โค้ดเหล่านั้นอยู่เสียด้วย

งานวิจัยที่ Unuchek ทำคือการมุ่งเป้าไปยังแอปพลิเคชันที่ใช้งาน HTTP Request ด้วย Method ของ GET และ POST ซึ่งจากการสำรวจ APK (Android Package) กว่า 4 ล้านแพ็กเกจที่เผยข้อมูลบางส่วนบนอินเทอร์เน็ต นักวิจัยกล่าวว่า “บางแอปพลิเคชันเกิดจากความผิดพลาดของนักพัฒนาเอง แต่ปัญหาข้อมูลหลุดของแอปพลิเคชันยอดนิยมส่วนใหญ่เกิดจาก SDK ของ Thrid-party” นอกจากนี้ Unuchek ได้ยกตัวอย่างว่าเขาพบ JSON ไฟล์ที่ไม่ได้เข้ารหัสซึ่งส่งมาจากเซิร์ฟเวอร์โฆษณาที่ประกอบด้วย วันเกิด ชื่อผู้ใช้งาน ตำแหน่ง GPS และข้อมูลอุปกรณ์

นักวิจัยยังได้แสดงความเห็นเพิ่มเติมว่า “ในกรณีของนักพัฒนาแอปพลิเคชันอันตรายยิ่งแย่เข้าไปใหญ่เพราะนอกจากสามารถขโมยข้อมูลต่างๆ ได้แล้วยังเปิดเผยข้อมูลเหล่านั้นบนอินเทอร์เน็ตเพื่อให้คนอื่นเข้ามาเจาะระบบหรือแสวงหาผลกำไรจากข้อมูลเหล่านั้นได้” อย่างไรก็ตามได้ให้คำแนะนำว่าควรใช้งาน VPN และผู้ใช้ควรกำหนดสิทธิ์ของแอปพลิเคชันให้ดี เพราะหากแอปพลิเคชันร้องขอสิทธิ์มากเท่าไหร่ก็มีแนวโน้มที่จะส่งข้อมูลอย่างไม่มั่นคงปลอดภัยเพื่อการโฆษณามากขึ้นเท่านั้น

ที่มา : https://threatpost.com/millions-of-apps-leak-private-user-data-via-leaky-ad-sdks/131251/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cloudflare ยืนยัน 1.1.1.1 ล่มจากการตั้งค่าผิด ไม่ใช่การโจมตีหรือ BGP Hijack

Cloudflare ออกมาชี้แจงว่าเหตุการณ์บริการ 1.1.1.1 Resolver ล่มเมื่อวันที่ 14 กรกฎาคมที่ผ่านมา เกิดจากการตั้งค่าภายในผิดพลาด ไม่ใช่การโจมตีทางไซเบอร์หรือ BGP hijack อย่างที่หลายคนเข้าใจผิด

AWS เปิดตัวเครื่องมือพัฒนา AI และระบบจัดเก็บข้อมูล Vector ใหม่

Amazon Web Services ประกาศเปิดตัวชุดเครื่องมือใหม่สำหรับพัฒนา AI Agent พร้อมทั้ง Amazon S3 Vectors ระบบจัดเก็บข้อมูล Vector ที่ประหยัดต้นทุนได้ถึง 90%