กระทรวงความมั่นคงแห่งมาตุภูมิแห่งสหรัฐอเมริกา หรือ DHS ได้เริ่มต้นทดลองโปรแกรมเพื่อตรวจสอบแอปพลิเคชันร้องขอความช่วยเหลือจากบุคคลที่เกิดเหตุวิกฤต (First Responder) บน Android และ iOS ในด้านความเป็นส่วนตัวและความมั่นคงปลอดภัย โดย 33 แอปพลิเคชันจาก 20 นักพัฒนาถูกตรวจสอบในโปรแกรมเริ่มต้นครั้งนี้
32 จาก 33 แอปพลิเคชันมีปัญหาละเมิดความเป็นส่วนตัว
จากการตรวจสอบพบว่า 32 แอปพลิเคชันมีปัญหาเกี่ยวกับความเป็นส่วนตัว โดยมีการยกระดับสิทธิ์การเข้าถึงเกินความจำเป็น เช่น ส่งข้อความ ใช้กล้อง และเข้าถึงลิสต์รายชื่อติดต่อ นอกจากนี้ 18 แอปพลิเคชันถูกระบุว่ามีช่องโหว่ที่สามารถทำ Man-in-the-Middle, การจัดการ SSL Certificate ผิดพลาด หรือ มีการฝัง Credential ลงในโค้ด การตรวจสอบนี้กินเวลาร่วม 3 เดือนรวมถึงฝ่ายสืบสวนได้เตือนไปยังนักพัฒนาแอปพลิเคชันเหล่านั้นแล้ว โดยตามรายงานสื่อของ DHS เมื่อสัปดาห์ที่แล้วกล่าวว่า 14 แอปพลิเคชันจาก 10 นักพัฒนาได้รับการแก้ไขแล้ว
การแก้ไขแต่ละแอปพลิเคชันกินเวลาแค่ 1 ชั่วโมงเท่านั้น
ทาง DHS ยังกล่าวว่านักพัฒนาส่วนใหญ่ที่ถูกแจ้งเตือนใช้เวลาแก้ไขเพียงแต่ 1 ชั่วโมง ซึ่งขั้นตอนการปรับปรุงแก้ไขประกอบด้วย การลบโค้ดเก่าหรือโค้ดที่ไม่ใช้แล้ว เปิดใช้ฟีเจอร์ด้านความปลอดภัยที่ติดมากับตัวระบบปฏิบัติการ รวมถึงเปิดใช้แค่ฟังก์ชันที่จำเป็น นอกจากนี้ทาง DHS ยังเสริมว่าการเริ่มต้นสิ่งนี้เป็นเรื่องสำคัญถึงแม้ว่าจะมีผู้ใช้งานไม่มากที่ใช้แอปพลิเคชัน แต่ผู้ใช้งานต้องการรับและแชร์ข้อมูลสำคัญแบบทันท่วงทีอย่างมั่นคงปลอดภัย ดังนั้นแอปพลิเคชันเหล่านี้ควรจะปลอดภัยจะการโจมตีของมัลแวร์ที่อาจจะทำให้เกิดการใช้งานไม่ได้ตอนที่ผู้ใช้งานตกอยู่ในเหตุการณ์ความเป็นความตายและต้องการใช้แอปพลิเคชันมากที่สุด
———————————————
ที่มา : TECHTALKTHAI / December 29, 2017
Link : https://www.techtalkthai.com/dhs-pilot-auditing-program-for-first-responder-apps/
