ในงาน RSA ที่จัดขึ้นที่ประเทศสหรัฐอเมริกานักวิจัยจาก Kaspersky Lab ได้เผยถึงงานวิจัยว่า “มีแอปพลิเคชันหลายล้าน รวมถึง SDK จาก Thrid-party เผยให้เห็นถึงข้อมูลส่วนบุคคลที่สามารถดักจับและแก้ไขเปลี่ยนแปลงได้ง่าย ซึ่งอาจนำไปสู่การติดมัลแวร์ Blackmail หรือการโจมตีในรูปแบบอื่นต่ออุปกรณ์ต่อไป“
นาย Roman Unuchek ได้กล่าวถึงว่าปัญหาคือข้อมูลนั้นถูกส่งผ่าน HTTP จะถูกดักจับได้ง่ายเพราะไม่มีการป้องกันและถูกแชร์อยู่ในเครือข่าย Wi-Fi หรือ ISP เดียวกัน แม้กระทั่งมัลแวร์ที่อาจฝังอยู่ในเร้าเตอร์ตามบ้านเอง โดยข้อมูลที่ไม่มีการปกป้องเหล่านี้สามารถถูกผู้ร้ายแก้ไขเปลี่ยนแปลง เช่น แก้ไขเพื่อแสดงโฆษณาอันตราย ล่อลวงให้ผู้ใช้โหลด Trojan มาติดตั้งเพื่อนำไปสู่มัลแวร์อื่นๆ ต่อไป เมื่อสืบเสาะกลับไปที่ต้นตอของปัญหาพบว่านักพัฒนาใช้ SDK ที่ผูกติดกับเครือข่ายโฆษณาที่ได้รับความนิยมเพื่อประหยัดเวลา อย่างไรก็ตาม Kaspersky พบว่า SDK เหล่านั้นมีช่องโหว่เนื่องจากไม่มีการปกป้องข้อมูลที่ถูกส่งระหว่างแอปพลิเคชันและเซิร์ฟเวอร์เพื่อการโฆษณา ซึ่งมีแอปพลิเคชันหลายล้านใช้งาน SDK โค้ดเหล่านั้นอยู่เสียด้วย
งานวิจัยที่ Unuchek ทำคือการมุ่งเป้าไปยังแอปพลิเคชันที่ใช้งาน HTTP Request ด้วย Method ของ GET และ POST ซึ่งจากการสำรวจ APK (Android Package) กว่า 4 ล้านแพ็กเกจที่เผยข้อมูลบางส่วนบนอินเทอร์เน็ต นักวิจัยกล่าวว่า “บางแอปพลิเคชันเกิดจากความผิดพลาดของนักพัฒนาเอง แต่ปัญหาข้อมูลหลุดของแอปพลิเคชันยอดนิยมส่วนใหญ่เกิดจาก SDK ของ Thrid-party” นอกจากนี้ Unuchek ได้ยกตัวอย่างว่าเขาพบ JSON ไฟล์ที่ไม่ได้เข้ารหัสซึ่งส่งมาจากเซิร์ฟเวอร์โฆษณาที่ประกอบด้วย วันเกิด ชื่อผู้ใช้งาน ตำแหน่ง GPS และข้อมูลอุปกรณ์
นักวิจัยยังได้แสดงความเห็นเพิ่มเติมว่า “ในกรณีของนักพัฒนาแอปพลิเคชันอันตรายยิ่งแย่เข้าไปใหญ่เพราะนอกจากสามารถขโมยข้อมูลต่างๆ ได้แล้วยังเปิดเผยข้อมูลเหล่านั้นบนอินเทอร์เน็ตเพื่อให้คนอื่นเข้ามาเจาะระบบหรือแสวงหาผลกำไรจากข้อมูลเหล่านั้นได้” อย่างไรก็ตามได้ให้คำแนะนำว่าควรใช้งาน VPN และผู้ใช้ควรกำหนดสิทธิ์ของแอปพลิเคชันให้ดี เพราะหากแอปพลิเคชันร้องขอสิทธิ์มากเท่าไหร่ก็มีแนวโน้มที่จะส่งข้อมูลอย่างไม่มั่นคงปลอดภัยเพื่อการโฆษณามากขึ้นเท่านั้น
——————————————————————–
ที่มา : TECHTALK Thai / April 18, 2018
Link : https://www.techtalkthai.com/kaspersky-says-millions-of-application-expose-personal-data-via-third-party-sdks/
