นักวิจัยชี้ แอพ Mobile Banking บน Apple iOS ยังไม่ปลอดภัยเพียงพอ

Credit: ShutterStock.com
Credit: ShutterStock.com

Ariel Sanchez ที่ปรึกษาด้านความปลอดภัยจาก IOActive ได้ทำการวิจัยเรื่องความปลอดภัยของแอพกลุ่ม Mobile Banking บน iOS Device ที่เคยมีการทำขึ้นไปแล้วครั้งหนึ่งเมื่อปี 2013 และพบว่าถึงแม้ผลการวิจัยครั้งนี้จะชี้ว่า Mobile Banking App จะมีความปลอดภัยมากขึ้น แต่ก็ยังไม่ปลอดภัยเพียงพอ และตรวจพบช่องโหว่อยู่ดี

การวิจัยครั้งนี้ครอบคลุมแอพ Mobile Banking จำนวน 40 แอพจากธนาคารทั่วโลกโดยไม่มีการเปิดเผยชื่อแอพ และทำการทดสอบเพียงเฉพาะ Client Side gท่านั้น โดยไม่ได้ไปทดสอบฝั่ง Server Side แต่อย่างใด โดยมีผลการทดสอบดังนี้

  • 5 แอพจาก 40 แอพนั้นไม่ได้ทำการ Validate SSL ทำให้สามารถถูกโจมตีแบบ Man-in-the-Middle ได้
  • 35% ของแอพที่ทำการสำรวจมีการเรียกใช้งาน URL ที่ไม่มีการเข้ารหัสด้วย SSL ทำให้มีความเสี่ยงต่อการถูกดังฟังหรือการ Inject โค้ดที่เป็นช่องโหว่ด้วย Javascript/HTML เพื่อส่งหน้า Login ปลอมหรือข้อมูลหลอกลวงได้
  • 30% ของแอพที่ทำการสำรวจไม่มีการ Validate ข้อมูลที่ได้รับมา ทำให้สามารถทำ Javascript Injection ได้
  • 15% ของแอพที่ทำการสำรวจ ไม่มีการเข้ารหัสไฟล์ที่จัดเก็บข้อมูลที่เป็นความลับ เช่น เลขบัญชีของผู้ใช้งานและประวัติการทำธุรกรรมต่างๆ ทั้งข้อมูลที่จัดเก็บใน sqlite และ plaintext file
  • มีเพียง 17 แอพจาก 40 แอพเท่านั้นที่รองรับการยืนยันตัวตนด้วยวิธีการอื่นๆ ที่ปลอดภัยขึ้น นอกเหนือจากการใช้เพียง Username และ Password

เรื่องความปลอดภัยบน Mobile Banking นี้คงเป็นอีกโจทย์ใหญ่ที่ธนาคารต่างๆ ควรจะต้องให้ความสำคัญกันจริงจังไม่แพ้การทำตลาดดึงดูดให้คนมาใช้กันแล้วครับ

ที่มา: http://www.theregister.co.uk/2015/12/18/ios_banking_app_audit/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ขอเชิญร่วมงานสัมมนา VeeamOn Forum : Transform Your Modern Data Protection Strategy [25 Aug 2022]

Veeam ขอเรียนเชิญท่านเข้าร่วมงาน VeeamOn Forum: Transform Your Modern Data Protection Strategy โดยภายในงานทุกท่านจะได้รับทราบเนื้อหาเทคโนโลยี ไฮไลท์ต่างๆ และการเปิดตัวเวอร์ชันใหม่จาก Veeam รวมถึงพันธมิตรทางธุรกิจที่ได้ให้เกียรติเข้าร่วมบรรยายพร้อมทั้งนำเสนอสินค้าและโซลูชันต่างๆ …

คลาวด์เซค เอเชีย ผนึกกำลัง 4 พันธมิตรชั้นนำระดับโลก จัดสัมมนา Cloud’s Cyber Security Landscape 2022 [19 ส.ค.นี้ 13.00 น.]

ดร.วารินทร์ แคร่า ประธานเจ้าหน้าที่บริหาร สายงานยุทธศาสตร์องค์กร บริษัท คลาวด์เซค เอเชีย จำกัด ผู้เชี่ยวชาญด้านการป้องกันภัยไซเบอร์และการวางระบบคลาวด์แบบครบวงจร ผนึกกำลัง 4 พันธมิตรชั้นนำระดับโลก อย่าง Sumo Logic, …