เตือนสาวผู้ใช้แอปติดตามรอบเดือน เสี่ยงข้อมูลถูกแชร์ให้ Facebook

Loading

Privacy International กลุ่มผู้สนับสนุนการคุ้มครองข้อมูลส่วนบุคคลจากสหราชอาณาจักร ออกมาแจ้งเตือนหญิงสาวผู้ใช้แอปพลิเคชันสำหรับติดตามรอบเดือนหลายล้านราย เสี่ยงข้อมูลสุขภาพไม่ว่าจะเป็น รอบเดือน ชีวิตบนเตียง การใช้ยาคุม อาการป่วย และอื่นๆ ถูกเปิดเผยให้ Facebook โดยไม่รู้ตัว แม้ว่าคุณจะไม่ได้เล่น Facebook ก็ตาม แอปพลิเคชันติดตามรอบเดือน เป็นหนึ่งในแอปพลิเคชันยอดนิยมที่เหล่าหญิงสาวดาวน์โหลดมาใช้งานเพื่อติดตามรอบเดือนของตนเอง รวมไปถึงผู้ที่ต้องการมีบุตร เนื่องจากแอปพลิเคชันดังกล่าวสามารถติดตามช่วงที่ไข่ตกเพื่อเพิ่มโอกาสในการตั้งครรภ์ได้ และเพื่อให้การคำนวณมีความแม่นยำ ผู้ใช้จำเป็นต้องบันทึกข้อมูลสุขภาพและข้อมูลส่วนบุคคลเชิงลึก เช่น วันที่มีเพศสัมพันธ์ วันที่มีประจำเดือน อาการป่วย สุขภาพจิต และอื่นๆ ซึ่งข้อมูลเหล่านี้ถือเป็นข้อมูลลับที่ส่วนใหญ่ไม่ต้องการเปิดเผยให้ผู้อื่นทราบ อย่างไรก็ตาม จากการตรวจสอบของ Privacy International พบว่า แอปพลิเคชันติดตามรอบเดือนหลายรายที่มียอดดาวน์โหลดนับล้าน ได้แชร์ข้อมูลส่วนบุคคลของผู้ใช้ไปยัง Facebook และบริการภายนอกอื่นๆ แม้ว่าคุณจะไม่ได้ล็อกอินผ่านทางบัญชี Facebook หรือมีบัญชี Facebook ก็ตาม โดยข้อมูลเหล่านี้จะถูกแชร์ผ่านทาง SDK ของ Facebook ที่ติดมากับแอป เพื่อให้ Facebook นำข้อมูลไปใช้ทำแคมเปญโฆษณาต่อ ในขณะที่เจ้าของแอปก็จะได้ค่าตอบแทนกลับคืนมาเช่นกัน แอปพลิเคชันที่ส่งข้อมูลให้ Facebook ได้แก่…

ผู้เชี่ยวชาญด้านความปลอดภัยพบวิธีหลอก Face ID ด้วยแว่น และเทปกาว

Loading

Black Hat 2019 เป็นงานประชุมวิชาการของเหล่าแฮกเกอร์ ที่เหล่าผู้เชี่ยวชาญด้านความปลอดภัยจะมาแลกเปลี่ยนความรู้กัน และยังมีสาธิตแสดงช่องโหว่ที่ถูกค้นพบในระบบต่างๆ ให้ได้ชมกันอีกด้วย Zhuo Ma ผู้เชี่ยวชาญด้านความปลอดภัยจาก Tencent Security ก็ได้ใช้งานนี้ในการสาธิตวิธีหลอก Face ID ระบบรักษาความปลอดภัยของ Apple โดยอาศัยแค่เพียงแว่นตา และเทปกาว ดย Zhuo Ma ได้ใช้ประโยชน์จาก “Liveness” คุณสมบัติในการตรวจสอบของ Face ID ที่จะวิเคราะห์สัญญาณรบกวนของฉากหลัง, จุดโฟกัส และข้อมูลในด้านอื่นๆ เพื่อวิเคราะห์ว่าสิ่งที่กำลังถูกสแกนด้วย Face ID นั้น ไม่ใช่โมเดล 3 มิติ หรือแค่รูปถ่าย ซึ่งการทำงานของมันจะมีช่องโหว่เกิดขึ้นจากการที่ Face ID จะไม่ตรวจสอบข้อมูล 3 มิติ ในพื้นที่บริเวณรอบดวงตา หากมันพบว่าผู้ที่สแกนกำลังสวมใส่แว่นตาเอาไว้อยู่ ด้วยการอาศัยประโยชน์จากช่องโหว่ดังกล่าว Zhuo Ma ได้สร้างแว่นต้นแบบที่เขาตั้งชื่อให้มันว่า X-glasses ขึ้นมา ซึ่งมันเป็นแว่นที่มีเทปสีดำแปะอยู่บนเลนส์ และมีเทปสีขาวแปะอยู่ตรงกลาง เขาได้อธิบายว่า Liveness detection…

การยืนยันตัวตนด้วยลายนิ้วมือโดนแฮกได้ไหม ป้องกันอย่างไร

Loading

การยืนยันตัวตนด้วยลายนิ้วมือนั้น ถือเป็นการยืนยันตนที่ได้รับความนิยมอีกประเภทหนึ่ง ไม่ว่าจะใช้เพื่อยืนยันตนในการเข้าทำงาน การ Login เข้ามือถือ รวมไปถึงอุปกรณ์เครื่องใช้ไฟฟ้านิรภัยบางประเภท ต่างก็มีฟังก์ชันนี้ เพราะมีความสะดวกและรวดเร็ว ประกอบปัจจุบันเริ่มมีการยอมรับเทคโนโลยี Biometrics มากขึ้น ทำให้กลายเป็นสิ่งสำคัญที่ผู้ใช้นิยมเพื่อรักษาความปลอดภัยนั่นเอง แต่เมื่อมีเทคโนโลยีที่อำนวยความสะดวกเพิ่มขึ้น ย่อมมีกลวิธีการแฮกข้อมูลเพิ่มขึ้นเช่นกัน จนลืมนึกไปว่าข้อมูลลายนิ้วมือก็อาจถูกแฮกได้ แม้ว่ารหัสผ่านเมื่อโดนแฮก ยังสามารถที่จะเปลี่ยนรหัสผ่านได้ แต่ข้อมูลลายนิ้วมือหากโดนแฮก เราไม่สามารถเปลี่ยนลายนิ้วมือได้ ผู้ที่เลือกใช้การยืนยันตนด้วยวิธีนี้จึงควรรู้เท่าทันว่าแฮกเกอร์มีวิธีต่าง ๆ อย่างไรที่สามารถเจาะอุปกรณ์ที่ใช้การสแกนลายนิ้วมือนี้ได้ และมาดูกันว่า แฮกเกอร์สามารถสวมรอยนิ้วมือได้อย่างไร จนไปถึงวิธีป้องกันเพื่อรักษาความปลอดภัยของข้อมูลของเรา 1. การโจมตีโดยใช้ Masterprints การใช้ Masterprints ก็เหมือนกับการใช้กุญแจ Master ที่สามารถไขได้ทุกห้องในบ้าน โดยถูกสร้างมาจากข้อมูลพื้นฐานของลายนิ้วมือมนุษย์ทั่วไป ซึ่งปกติเครื่องสแกนลายนิ้วมือที่มีเสปกสูง ๆ จะเน้นความแม่นยำและ จะบล็อกการพยายามเข้าสู่ระบบด้วย Masterprints แต่อุปกรณ์ที่มีระบบสแกนลายนิ้วมือที่ไม่ซับซ้อนอย่าง อุปกรณ์มือถือทั่วไป ฯลฯ อาจเสี่ยงต่อการถูกโจมตีผ่าน Masterprints ได้ วิธีป้องกัน – หากเป็นไปได้ ควรเลือกใช้เครื่องสแกนลายนิ้วมือที่มีสเปกความแม่นยำสูง ๆ แนะนำให้ศึกษาสเปกชีทของเครื่อง ฯ ให้ดี โดยดูที่…

ดาบสองคมของเทคโนโลยีจดจำใบหน้า

Loading

จิตรทัศน์ ฝักเจริญผล เรื่อง ภาพิมล หล่อตระกูล ภาพประกอบ โลกอัตโนมัติในฝันกับโลกจริงอันโหดร้ายอาจใกล้กันอย่างคาดไม่ถึง นึกถึงร้านค้าที่เราสามารถเดินเข้าไปเลือกสินค้าและหยิบของที่ต้องการออกไปได้โดยไม่ต้องคอยชำระเงิน แต่ราคาสินค้าทั้งหมดจะถูกหักจากบัญชีโดยอัตโนมัติ  นอกจากนี้ เมื่อเดินเข้าร้าน ข้อมูลสินค้าแนะนำที่เราชื่นชอบก็จะแสดงขึ้นมาโดยทันที สำหรับลูกค้าขาประจำเมื่อเดินเข้าร้านก็จะพบกับสินค้าที่ร้านคาดว่าน่าจะซื้อใส่ตะกร้าเตรียมให้เรียบร้อย ยิ่งไปกว่านั้น ถ้าเมื่อวันก่อนเราได้เปรยกับเพื่อนในเครือข่ายสังคมว่าอยากซื้อแปรงสีฟันและน้ำยาบ้วนปากใหม่ ของทั้งสองชิ้นที่เคยปรากฏบนโฆษณาที่ได้กดไลก์เอาไว้ก็ถูกรวมอยู่ในตะกร้าแล้วเช่นกัน การเชื่อมโยงข้อมูลจากหลากหลายแหล่งเพื่อนำมาใช้ทำนายพฤติกรรมในด้านต่างๆ เป็นสวรรค์ของนักวิทยาศาสตร์ข้อมูล รายได้ส่วนใหญ่ของบริษัทยักษ์ใหญ่ออนไลน์ เช่น Google หรือ Facebook ก็ขึ้นอยู่กับความสามารถในด้านนี้ นั่นคือความสามารถที่จะขุด ‘เพชร’ ล้ำค่าที่อยู่ในข้อมูลต่างๆ ที่เก็บจากผู้ใช้นั่นเอง อย่างไรก็ตาม ข้อมูลที่บริษัทมีนั้นก็เป็นแค่เสี้ยวหนึ่งของชีวิตผู้ใช้เท่านั้น ชีวิตออนไลน์ไม่ว่าจะทิ้งร่องรอยไว้สำหรับขุดค้นมากเพียงใด ในปัจจุบันก็ยังมีช่องว่างระหว่างชีวิตออนไลน์กับชีวิตในโลกความจริงอยู่ กุญแจสำคัญในการเชื่อมต่อโลกของข้อมูลเข้ากับโลกความจริงที่ผู้ใช้กำลังเลือกหยิบสินค้า ก็คือเทคโนโลยีที่จะติดตามผู้ใช้ไปทุกแห่ง ทั้งบนโลกออนไลน์และบนโลกแห่งความจริงนั่นเอง เมื่อลองนึกถึงโอกาสทางธุรกิจก้อนโตในการเสนอสินค้าและบริการ (โฆษณา) ในจุดที่เรากำลังเลือกหยิบสินค้า หรือเรียนรู้พฤติกรรมของผู้ใช้ระหว่างวัน ใครๆ ก็ย่อมพยายามมองหาวิธีพัฒนาเทคโนโลยีที่จะปิดช่องว่างระหว่างโลกออนไลน์และโลกออฟไลน์นี้ เมื่อ Google ได้เริ่มปล่อยฝูงรถยนต์เก็บภาพข้างถนนและนำภาพเหล่านั้นมาแสดงประกอบบน Google Maps ผ่านทางบริการ Street View ในปี 2007 หลายคนรีบเข้าไปดูความมหัศจรรย์ของข้อมูลเหล่านี้ ก่อนจะพบภาพตนเองขณะแอบยืนสูบบุหรี่อยู่ที่ร้านขายของใกล้บ้าน ไม่นานนัก Google…

แอปฯ แอนดรอยด์แอบเก็บข้อมูล แม้ผู้ใช้ไม่อนุญาต

Loading

รายงานล่าสุดระบุว่า แอปพลิเคชันในแอนดรอยด์แอบเก็บข้อมูลส่วนตัว แม้ผู้ใช้จะไม่อนุญาตให้เก็บข้อมูลก็ตาม โดยมีการประเมินว่ามีผู้ใช้ได้รับผลกระทบหลายร้อยล้านคน ผลการศึกษาล่าสุดระบุว่า แอปพลิเคชันยอดนิยมหลายแอปฯ บนระบบปฏิบัติการแอนดรอยด์ที่ผู้ใช้โหลดจากกูเกิลเพลย์สโตร์แอบเก็บข้อมูลส่วนตัวจากโทรศัพท์ของผู้ใช้ แม้ผู้ใช้จะปฏิเสธไม่ให้แอปเก็บข้อมูลแล้วก็ตาม โดยแอปฯ เหล่านี้ใช้ “ช่องทางข้างเคียง” หรือ “เปลี่ยนช่องทาง” ในการเก็บข้อมูล เช่น เก็บข้อมูลจากแอปฯ อื่นๆ ที่ได้รับอนุญาตจากผู้ใช้ การศึกษานี้จัดทำขึ้นโดยสถาบันวิทยาศาสตร์คอมพิวเตอร์ระหว่างประเทศ ศูนย์วิจัยไม่แสวงหาผลกำไร ร่วมกับมหาวิทยาลัยแคลิฟอร์เนียเบิร์คลีย์ โดยได้รับการสนับสนุนจากหลายองค์กร รวมถึงโครงการวิทยาศาสตร์ความมั่นคงของหน่วยงานความมั่นคงแห่งชาติ กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐฯ และมูลนิธิวิทยาศาสตร์แห่งชาติสหรัฐฯ ทีมวิจัยครั้งนี้ได้ติดตั้งแอปฯ ยอดนิยมในแต่ละหมวดบนกูเกิลเพลย์สโตร์ รวมทั้งหมด 88,000 แอปฯ แล้วนำข้อมูลมาวิเคราะห์ การศึกษาพบว่า มีแอปฯ ในแอนดรอยด์ประมาณ 60 แอปฯ ที่ใช้วิธีนี้ในการเก็บข้อมูลแล้ว และมีอีกหลายแอปฯ ที่เขียนโค้ดให้ใช้วิธีดังกล่าวในการเก็บข้อมูล โดยนักวิจัยประเมินว่า น่าจะมีผู้ใช้แอนดรอยด์ได้รับผลกระทบหลายร้อยล้านคน ในบางกรณี แอปฯ ที่ได้รับอนุญาตให้เข้าถึงข้อมูลตำแหน่งของอุปกรณ์จะเก็บข้อมูลไว้ใน SD card ของโทรศัพท์ ซึ่งทำให้แอปฯ ที่ไม่ได้รับอนุญาตสามารถเข้าถึงข้อมูลเหล่านี้ได้จาก SD card อีกทีหนึ่ง ส่วนอีกหลายกรณี ผู้ใช้อาจอนุญาตให้แอปฯ เข้าถึงข้อมูลโดยไม่เข้าใจอย่างชัดเจนว่าตัวเองยอมรับเงื่อนไขอะไรไปบ้าง…

รบ.จีนใช้มัลแวร์โจมตีโทรศัพท์อุยกูร์กว่า 2 ปี

Loading

ชาวอุยกูร์ในจีนถูกโจมตีอุปกรณ์สื่อสารทั้งระบบ iOS แอนดรอยด์ และวินโดวส์มานานกว่า 2 ปี โดยมีรายงานชี้ว่า รัฐบาลจีนเป็นผู้สนับสนุนปฏิบัติการโจมตีอุปกรณ์ของชาวอุยกูร์ สำนักข่าว The Guardian รายงานว่า ชาวอุยกูร์ที่อาศัยอยู่ในจีน โดยเฉพาะในเขตปกครองตนเองซินเจียงอุยกูร์ ถูกโจมตีโดยมัลแวร์ในระบบ iOS (ไอโอเอส) มาเป็นเวลานานกว่า 2 ปีแล้ว ซึ่งเชื่อกันว่าเป็นปฏิบัติการของรัฐบาลจีนในการสอดส่องชาวอุยกูร์ในประเทศ สัปดาห์ที่ผ่านมา ทีมนักวิจัยของกูเกิลเป็นผู้ค้นพบปฏิบัติการโจมตีอุปกรณ์ที่ใช้ระบบ iOS ของชาวอุยกูร์ โดยเว็บไซต์ต้องสงสัยมีผู้เข้าชมหลายพันคนต่อสัปดาห์ในช่วงเวลาอย่างน้อย 2 ปีที่ผ่านมา ซึ่งหลังบริษัทแอปเปิลได้รับแจ้ง ก็รีบกำจัดมัลแวร์เหล่านี้โดยเร็ว โดยการโจมตีระบบ iOS ของชาวอุยกูร์อาจเป็นครั้งแรกที่มีการเจาะระบบครั้งแรกของ iOS ในประวัติศาสตร์ของไอโฟน เว็บไซต์ที่มีมัลแวร์สามารถเข้าไปควบคุมอุปกรณ์ที่ถูกแฮ็กได้เกือบทั้งหมด โดยอาศัยจุดอ่อนในระบบปฏิบัติการที่ไม่เคยเปิดเผยมาก่อน ซึ่งผู้ใช้อุปกรณ์นั้นอาจไม่รู้เลยว่าถูกโจมตี เพราะถูกหลอกให้เปิดเว็บไซต์ที่มีมัลแวร์ แล้วก็ถูกโจมตีทันที แม้ไม่ได้คลิกอะไรบนเว็บไซต์นั้นอีก นอกจากนี้ อุปกรณ์ที่ใช้ระบบแอนดรอยด์และวินโดว์สก็ถูกโจมตีเช่นกัน โดยใช้วิธีการฝังมัลแวร์ไปในเว็บไซต์ที่ผู้ใช้ชอบเข้า หรือเปลี่ยนทิศทางจากเว็บไซต์ที่ผู้ใช้ต้องการเข้าไปเป็นเว็บไซต์ที่ทำขึ้นมาเลียนแบบ เพื่อที่จะโจมตีผู้ใช้อย่างไม่เลือกเป้าหมาย โดยโธมัส บรูสเตอร์ นักข่าวด้านความมั่นคงและความเป็นส่วนตัวของนิตยสาร Forbes กล่าวว่า การโจมตีระบบแอนดรอยด์และวินโดวส์มีมานานกว่า 2 ปีแล้ว และจำนวนผู้ใช้ที่ถูกโจมตีก็มีจำนวนมากกว่าผู้ใช้ iOS อยู่มาก แซ็ค วิทเทเคอร์จากสำนักข่าว Tech…