CDIC 2023

นักวิจัยชี้ แอพ Mobile Banking บน Apple iOS ยังไม่ปลอดภัยเพียงพอ

Credit: ShutterStock.com
Credit: ShutterStock.com

Ariel Sanchez ที่ปรึกษาด้านความปลอดภัยจาก IOActive ได้ทำการวิจัยเรื่องความปลอดภัยของแอพกลุ่ม Mobile Banking บน iOS Device ที่เคยมีการทำขึ้นไปแล้วครั้งหนึ่งเมื่อปี 2013 และพบว่าถึงแม้ผลการวิจัยครั้งนี้จะชี้ว่า Mobile Banking App จะมีความปลอดภัยมากขึ้น แต่ก็ยังไม่ปลอดภัยเพียงพอ และตรวจพบช่องโหว่อยู่ดี

การวิจัยครั้งนี้ครอบคลุมแอพ Mobile Banking จำนวน 40 แอพจากธนาคารทั่วโลกโดยไม่มีการเปิดเผยชื่อแอพ และทำการทดสอบเพียงเฉพาะ Client Side gท่านั้น โดยไม่ได้ไปทดสอบฝั่ง Server Side แต่อย่างใด โดยมีผลการทดสอบดังนี้

  • 5 แอพจาก 40 แอพนั้นไม่ได้ทำการ Validate SSL ทำให้สามารถถูกโจมตีแบบ Man-in-the-Middle ได้
  • 35% ของแอพที่ทำการสำรวจมีการเรียกใช้งาน URL ที่ไม่มีการเข้ารหัสด้วย SSL ทำให้มีความเสี่ยงต่อการถูกดังฟังหรือการ Inject โค้ดที่เป็นช่องโหว่ด้วย Javascript/HTML เพื่อส่งหน้า Login ปลอมหรือข้อมูลหลอกลวงได้
  • 30% ของแอพที่ทำการสำรวจไม่มีการ Validate ข้อมูลที่ได้รับมา ทำให้สามารถทำ Javascript Injection ได้
  • 15% ของแอพที่ทำการสำรวจ ไม่มีการเข้ารหัสไฟล์ที่จัดเก็บข้อมูลที่เป็นความลับ เช่น เลขบัญชีของผู้ใช้งานและประวัติการทำธุรกรรมต่างๆ ทั้งข้อมูลที่จัดเก็บใน sqlite และ plaintext file
  • มีเพียง 17 แอพจาก 40 แอพเท่านั้นที่รองรับการยืนยันตัวตนด้วยวิธีการอื่นๆ ที่ปลอดภัยขึ้น นอกเหนือจากการใช้เพียง Username และ Password

เรื่องความปลอดภัยบน Mobile Banking นี้คงเป็นอีกโจทย์ใหญ่ที่ธนาคารต่างๆ ควรจะต้องให้ความสำคัญกันจริงจังไม่แพ้การทำตลาดดึงดูดให้คนมาใช้กันแล้วครับ

ที่มา: http://www.theregister.co.uk/2015/12/18/ios_banking_app_audit/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

LINE ประเทศไทย จัดงาน LINE Conference Thailand 2023 ชูเทคโนโลยี Hyper-localized ยกระดับชีวิต ธุรกิจ และนักพัฒนา ก้าวสู่การเป็น “แพลตฟอร์มเปิดเพื่อคนไทย” [Guest Post]

ครั้งแรกของ LINE ประเทศไทย กับงานสัมมนาด้านเทคโนโลยีครั้งใหญ่ LINE Conference Thailand 2023 หรือ #LCT23 พร้อมประกาศวิสัยทัศน์ ทิศทาง และกลยุทธ์ก้าวต่อไปในการพัฒนาและดำเนินการด้านเทคโนโลยีใหม่แห่งปี สู่การเป็น “แพลตฟอร์มเปิดเพื่อคนไทย” …

เชิญร่วมงานสัมมนาออนไลน์ BAYCOMS Cybersecurity Day 2023 วันที่ 6 ตุลาคม 2023

Bay Computing ขอเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT Security เข้าร่วมสัมมนาออนไลน์ BAYCOMS Cybersecurity Day 2023 ซึ่งจัดขึ้นภายใต้ธีม “First Class Cybersecurity to …