นักวิจัยชี้ แอพ Mobile Banking บน Apple iOS ยังไม่ปลอดภัยเพียงพอ

Credit: ShutterStock.com
Credit: ShutterStock.com

Ariel Sanchez ที่ปรึกษาด้านความปลอดภัยจาก IOActive ได้ทำการวิจัยเรื่องความปลอดภัยของแอพกลุ่ม Mobile Banking บน iOS Device ที่เคยมีการทำขึ้นไปแล้วครั้งหนึ่งเมื่อปี 2013 และพบว่าถึงแม้ผลการวิจัยครั้งนี้จะชี้ว่า Mobile Banking App จะมีความปลอดภัยมากขึ้น แต่ก็ยังไม่ปลอดภัยเพียงพอ และตรวจพบช่องโหว่อยู่ดี

การวิจัยครั้งนี้ครอบคลุมแอพ Mobile Banking จำนวน 40 แอพจากธนาคารทั่วโลกโดยไม่มีการเปิดเผยชื่อแอพ และทำการทดสอบเพียงเฉพาะ Client Side gท่านั้น โดยไม่ได้ไปทดสอบฝั่ง Server Side แต่อย่างใด โดยมีผลการทดสอบดังนี้

  • 5 แอพจาก 40 แอพนั้นไม่ได้ทำการ Validate SSL ทำให้สามารถถูกโจมตีแบบ Man-in-the-Middle ได้
  • 35% ของแอพที่ทำการสำรวจมีการเรียกใช้งาน URL ที่ไม่มีการเข้ารหัสด้วย SSL ทำให้มีความเสี่ยงต่อการถูกดังฟังหรือการ Inject โค้ดที่เป็นช่องโหว่ด้วย Javascript/HTML เพื่อส่งหน้า Login ปลอมหรือข้อมูลหลอกลวงได้
  • 30% ของแอพที่ทำการสำรวจไม่มีการ Validate ข้อมูลที่ได้รับมา ทำให้สามารถทำ Javascript Injection ได้
  • 15% ของแอพที่ทำการสำรวจ ไม่มีการเข้ารหัสไฟล์ที่จัดเก็บข้อมูลที่เป็นความลับ เช่น เลขบัญชีของผู้ใช้งานและประวัติการทำธุรกรรมต่างๆ ทั้งข้อมูลที่จัดเก็บใน sqlite และ plaintext file
  • มีเพียง 17 แอพจาก 40 แอพเท่านั้นที่รองรับการยืนยันตัวตนด้วยวิธีการอื่นๆ ที่ปลอดภัยขึ้น นอกเหนือจากการใช้เพียง Username และ Password

เรื่องความปลอดภัยบน Mobile Banking นี้คงเป็นอีกโจทย์ใหญ่ที่ธนาคารต่างๆ ควรจะต้องให้ความสำคัญกันจริงจังไม่แพ้การทำตลาดดึงดูดให้คนมาใช้กันแล้วครับ

ที่มา: http://www.theregister.co.uk/2015/12/18/ios_banking_app_audit/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …

ขอเชิญเข้าร่วมงานอบรมฟรี ClickHouse in Action: Real-World Analytics at Scale by INOX เรียนรู้และลองทำ ClickHouse ด้วยตนเอง [22 ก.ค. 2026 – 13.30น.]

ClickHouse และ INOX ขอเรียนเชิญ IT Leaders, Enterprise & Solution Architects, Data Architects และ Data Engineers …