Monday, June 24, 2024
ArticlesColumnistCybersecurityPairoj Waiwanijchakij

Mobile APP Security Test ถึงเวลาแห่งการรับประกันความปลอดภัยผู้บริโภคครั้งใหญ่

Mobile APP

ผู้เขียนฝากข้อกังวลเรื่องความปลอดภัยจากการใช้งานแอปพลิเคชันมือถือไปยังบริษัทและองค์กรเจ้าของแอปพลิเคชัน ที่กลายเป็นช่องโหว่กรณีโจรกรรมข้อมูล ลักลอบสวมรอยเข้าถึงบริการสำคัญๆ วันนี้อาจถึงเวลาของ Mobile APP Security Test เพื่อการรับประกันความปลอดภัยให้ผู้ใช้มือถือทุกคน

ปัจจุบัน ปัญหาด้านความปลอดภัยทางไซเบอร์ ได้หยั่งรากลงมาถึงชีวิตประจำวันของผู้คนทั่วไปแล้วอย่างหลีกเลี่ยงไม่ได้ สาเหตุก็เพราะการดำเนินชีวิตประจำวันไปจนถึงการทำกิจกรรมต่างๆ ทางธุรกิจต่างก็พึ่งพาการใช้งานแอปพลิเคชันที่ติดตั้งอยู่บนสมาร์ทโฟน

การทำงานของแอปพลิเคชันเหล่านี้ก็ล้วนมีความต้องการในการเข้าถึงข้อมูลและกลไกการทำงานต่างๆ บนสมาร์ทโฟนที่แตกต่างกันไป มากบ้างน้อยบ้าง เช่น แอปพลิเคชัน Google Map ต้องการการเข้าถึงกลไกการระบุตำแหน่งที่อยู่ของสมาร์ทโฟน แอปพลิเคชัน Social Media ต่างๆ ต้องการการเข้าถึงคลังรูปภาพและไฟล์ต่างๆ กล้องถ่ายรูป เป็นต้น

ยิ่งติดตั้งแอปพลิเคชันที่มีวัตถุประสงค์ในการทำงานแตกต่างกันไปลงบนสมาร์ทโฟนมากขึ้นเรื่อยๆ เราก็จะพบว่า จะเกิดการเปิดกว้างของการเข้าถึงข้อมูล หรือการเข้าถึงซึ่งกันและกันระหว่างแอปพลิเคชันมากขึ้นเรื่อยๆ ผู้ใช้งานแต่ละคนก็จะมีความยุ่งเหยิงและหลากหลายของรูปแบบการเข้าถึงข้อมูลและแอปพลิเคชันระหว่างกันที่ซับซ้อนไม่เหมือนกัน

บทความโดย: ไพโรจน์ ไววานิชกิจ นักวิชาการผู้เชี่ยวชาญด้านโทรคมนาคม ธุรกิจดิจิทัล อุตสาหกรรมสตาร์ทอัพ ธุรกิจพลังงาน ลอจิสติก และเทคโนโลยีสารสนเทศ

ปัญหาที่พบจนกลายเป็นประเด็นมิจฉาชีพและอาชญากรรมไซเบอร์ทุกวันนี้ ส่วนใหญ่ก็มาจากช่องโหว่งจากการทำงานของแอปพลิเคชันบางตัวหรือหลายๆ ตัว ซึ่งผู้พัฒนาแอปพลิเคชันอาจมิได้มีเจตนาร้าย แต่อาจเกิดจากความรู้เท่าไม่ถึงการที่นำ Coding สาธารณะ หรือจากแหล่งใดแหล่งหนึ่งที่มิได้ตรวจสอบหรือสืบสาวที่มาที่ไปของการพัฒนาอย่างละเอียด

อาจเกิดจากความเร่งรีบของการต้องเปิดตัวแอปพลิเคชัน จึงมีการยำใหญ่นำ Coding ที่เห็นว่าพอใช้ได้มาประกบเป็นส่วนหนึ่งในการทำงานของแอปพลิเคชันที่ตนพัฒนาขึ้น และ Coding เหล่านั้นเองก็อาจเป็นช่องโหว่ในการเปิดช่องทางให้อาชญากรไซเบอร์เข้าถึงข้อมูลและกลไกการทำงานของสมาร์ทโฟนของผู้บริโภค

จนกลายเป็นโจรกรรมข้อมูล หรือการลักลอบสวมรอยเข้าถึงบริการสำคัญๆ เช่น ธุรกรรมทางธนาคารผ่านทางเชื่อมต่อกับแอปพลิเคชันธนาคาร หรือภัยทางไซเบอร์อื่นๆ ได้

จริงอยู่ที่ว่าแพลตฟอร์มที่เป็น Store หลักๆ 2 แห่งในโลกสมาร์ทโฟน ซึ่งก็คือ Google Play และ iOS Store จะมีมาตรการในการตรวจสอบและป้องกันรักษาความปลอดภัยในตัวของแอปพลิเคชันที่บรรดานักพัฒนาสร้างขึ้นและอัพโหลดขึ้นไปบนแพลตฟอร์มเพื่อให้ผู้บริโภคได้ดาวน์โหลดไปใช้งาน

แต่ในความเป็นจริงกลไกป้องกันความปลอดภัยเหล่านั้นก็ยังไม่เพียงพอสำหรับรับมือกับภัยคุกคามไซเบอร์ที่มีรูปแบบและวิธีการที่หลากหลายและเปลี่ยนแปรอยู่ตลอดเวลา ส่วนการฝากความหวังไว้กับการติดตั้งแอปพลิเคชันรักษาความปลอดภัย เช่น Antivirus ต่างๆ ฯลฯ ก็ยังไม่อาจตรวจจับกลไกการทำงานผิดปกติที่ถูกสร้างฝังตัวในแอปพลิเคชันบางตัวได้ทั้งหมด เท่ากับว่าช่องโหว่ในการถูกจู่โจมทางไซเบอร์ผ่านทางแอปพลิเคชันก็ยังคงมีโอกาสเกิดขึ้นอยู่นั่นเอง

ลองพิจารณาตัวอย่างความเสี่ยงจากภัยคุกคามไซเบอร์ง่ายๆ สักกรณีหนึ่ง สมมติว่าผู้ใช้งานสนใจดาวน์โหลดแอปพลิเคชันที่ช่วยให้ข้อมูลสภาพอากาศ เมื่อดาวน์โหลดแอปพลิเคชันลงสมารท์โฟนแล้ว แอปพลิเคชันจะร้องขอผ่านทางทางระบบปฏิบัติการ (จะเป็น Android หรือ iOS ก็แล้วแต่) ว่าขอเข้าถึง GPS ของสมาร์ทโฟนเพื่อให้ทราบตำแหน่งที่อยู่เพื่อนำไปประมวลผลแสดงข้อมูลสภาพอากาศ

ถามแบบนี้ ผู้ใช้งานก็ย่อมต้องกดปุ่ม “ตกลง” เป็นธรรมดา แต่สิ่งที่ผู้ใช้งานไม่ทราบก็คือว่า แท้จริงแล้วแอปพลิเคชันตัวนี้จะมีการแอบทำงานโดยขโมยอ่านและส่งข้อมูลพฤติกรรมการเดินทางไปยังสถานที่ต่างๆ คำนวณเวลาที่ผู้ใช้งานอยู่ในแต่ละสถานที่ และแอบส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ลับซึ่งอาจจะเป็นบุคคลที่สามที่ลักลอบนำข้อมูลเหล่านี้ไปวิเคราะห์เพื่อนำไปใช้ในการทำโฆษณาและใช้ช่องทางอื่น เช่น Social Media ต่างๆ ในการส่งโฆษณาที่ได้จากการวิเคราะห์พฤติกรรมของผู้ใช้งานกลับมายังผู้ใช้งาน

ยิ่งนำข้อมูลเหล่านี้ไปใช้วิเคราะห์ร่วมกับระบบ AI ก็เปรียบได้กับว่าผู้ใช้งานรายดังกล่าว “แก้ผ้า” แสดงพฤติกรรมของตนทั้งวันทั้งคืนให้กับใครก็ไม่ทราบไปแล้ว เช่น ไปร้านอาหารที่ไหน ใช้เวลานานเท่าไร เติมน้ำมันที่ไหนบ้าง ที่ไหนบ่อย ลำพังการนำข้อมูลเหล่านี้ไปใช้เพื่อการทำโฆษณายังไม่ร้ายเท่ากับ การเข้าถึงระบบควบคุมการป้อนข้อมูล เพื่อดักอ่านว่าผู้ใช้งานเปิดแอปพลิเคชันธนาคารใด

อ่านตำแหน่งการกดนิ้วบนหน้าจอเพื่อดูรหัสบัญชีและพาสเวิร์ด ไปจนถึงการดักอ่านค่า OTP (One-time-password) แล้วเมื่อผู้ใช้งานเผลอ มือที่สามที่ได้รับข้อมูลก็จะย้อนศรลักลอบ login และดำเนินการทำธุรกรรมทางการเงินที่อาจถึงขั้นปล้นเงินในปัญชีไป ดังที่เราได้พบเห็นข่าวคราวมาบ่อยๆ

Image by rawpixel.com on Freepik

ธุรกิจ Mobile_APP Security Test จึงกลายเป็นเทคโนโลยีร้อนแรงในปัจจุบัน ที่ทำหน้าที่ในการตอบสอบกลไกการทำงานของไฟล์แอปพลิเคชัน ไม่ว่าจะเป็นบนระบบปฏิบัติการ Android หรือ iOS โดยสร้างรูปแบบตรวจสอบการทำงานที่เจาะลึกมากๆ เพื่อตรวจสอบการทำงานที่ผิดปกติ และชี้ให้เห็นถึงจุดโหว่จากการทำงานของแอปพลิเคชัน

ตัวอย่างเช่น เป็นแอปพลิเคชันแสดงรายงานสภาพการจราจรโดยเก็บข้อมูลจากตำแหน่งของผู้ใช้งานเพื่อนำประมวลผล แต่กลับตรวจสอบความผิดปกติว่ามีการส่งข้อมูลเป็นระยะไปยังเซิร์ฟเวอร์ซึ่งอยู่ต่างประเทศ และไม่น่าจะมีความเกี่ยวข้องกับกลไกการทำงานของแอปพลิเคชัน โดยมีการจัดทำ rating แยกประเภทระดับความร้ายแรงของความผิดปกติที่ตรวจพบ พร้อมกับรายงานผลการตรวจสอบพร้อมคำแนะนำอย่างละเอียด

Mobile_APP Security Test เหมาะสำหรับบริษัทและองค์กร ที่เป็นเจ้าของแอปพลิเคชันที่จะต้องรองรับการใช้งานของผู้ใช้งานจำนวนมาก ยิ่งเป็น Super APP ยิ่งมีความเสี่ยงว่าหากบริษัทหรือองค์กร ปล่อยให้มีการพัฒนาแอปพลิเคชัน ไม่ว่าจะเป็นแอปพลิเคชันใหม่ หรือเป็นการอัพเกรดแอปพลิเคชัน แล้วไม่ทำการตรวจสอบโดยการสแกนการทำงานของแอปพลิเคชันเพื่อตรวจสอบหากลไกการทำงานที่ผิดปกติ

แต่กลับปล่อยให้มีการอัพโหลดแอปพลิเคชันนั้นไปบน Google Play Store หรือ iOS Store แล้วเกิดมีช่องโหว่ทางไซเบอร์ ส่งผลให้เกิดความเสียหายต่อผู้ใช้งาน บริษัทหรือองค์กรนั้นจะพบกับความเสียหายต่อความน่าเชื่อ เกิดการฟ้องร้องเรียกค่าเสียหาย และยิ่งหากมีบทปรับจากทางราชการในการปล่อยให้เกิดช่องโหว่ทางไซเบอร์จนผู้บริโภคเกิดความเสียหาย ก็อาจจะกลายเป็นน้ำผึ้งหยดเดียวที่ส่งผลต่อธุรกิจได้อย่างรุนแรง

นับจากนี้เป็นต้นไป เราจะเห็นบริษัท องค์กรธุรกิจ หรือหน่วยงานราชการ ที่มีแอปพลิเคชันของตนเองและมีฐานลูกค้าเป็นจำนวนมาก ให้ความสำคัญกับการลงทุนใช้บริการ Mobile APP Security มากยิ่งขึ้น ซึ่งรูปแบบในการให้บริการ Mobile APP Security Test ก็จะเป็น Cloud Service โดยบริษัทที่มีความน่าเชื่อถือและมีประสบการณ์และฐานข้อมูลด้านการวิเคราะห์ความปลอดภัยที่สูงมาก

โดยหน่วยงานก็อาจจะชำระค่าบริการเป็นรายปี เปรียบคล้ายกับการซื้อประกันเพื่อป้องกันปัญหาช่องโหว่ทางไซเบอร์ แต่เป็นการซื้อประกันที่มีประสิทธิภาพ เพราะกลไกการตรวจสอบช่องโหว่ของผู้ให้บริการจะช่วยลดความเสี่ยงจากการเขียน code ที่ความสุ่มเสี่ยงต่อปัญหาอาชญากรรมไซเบอร์

ทั้งนี้ในปัจจุบันผลิตภัณฑ์ที่ได้รับการยอมรับว่ามีประสิทธิภาพในการตรวจสอบสูงสุดก็คือ Quokka ของบริษัท Kryptowire ที่ได้รับการก่อตั้งขึ้นโดยการลงทุนของหน่วยงานกลาโหมสหรัฐอเมริกา ซึ่งสถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา (National Institutes of Standards and Technology หรือ NIST) ได้ทดสอบพบว่าสามารถตรวจสอบช่องโหว่ทางไซเบอร์จากการทำงานของแอปพลิเคชันได้สูงสุด โดยมีผลิตภัณฑ์รายอื่นๆ ทยอยเข้าสู่ตลาด Mobile_APP Security Test มากขึ้นเรื่อยๆ

อันเป็นการสร้างความมั่นใจทั้งต่อบริษัทหรือองค์กรธุรกิจที่เป็นเจ้าของแอปพลิเคชัน และต่อผู้ใช้งานแอปพลิเคชัน แต่อย่างไรก็ตาม ความระมัดระวังในการใช้งานก็ยังคงต้องมีอยู่ต่อไป เพราะยังมีแอปพลิเคชันอื่นๆ บนสมาร์ทโฟนของผู้ใช้งานที่ผู้พัฒนาและเจ้าของแอปพลิเคชันมิได้ให้ความสำคัญกับการตรวจสอบแบบ Mobile APP Security Test

พบกับเรื่องราวของเทคโนโลยีและรูปแบบธุรกิจทันยุคอื่นๆ ได้ใหม่ในบทความตอนต่อไป

อ่านบทความทั้งหมดของ ไพโรจน์ ไววานิชกิจ

Featured Image: Image by Freepik