Vulnerability of Instant Messaging Site

เปิดช่องโหว่แอปพลิเคชันชื่อดังบนคอมพิวเตอร์

 

ยิ่งบริษัทให้บริการหลายช่องทาง หลายรูปแบบมากเท่าไหร่ ก็ยิ่งมีโอกาสเกิดจุดอ่อนในแต่ละช่องทางมากเท่านั้น สำหรับบริษัทที่ให้บริการบนโลกไซเบอร์แล้วนั้น การเกิดช่องโหว่ถือเป็นเรื่องใหญ่ที่จะสั่นคลอนความน่าเชื่อถือของบริษัทได้มากทีเดียว

 

ดังเช่นกรณีที่แอฟพลิเคชันระบบส่งข้อความทันทีในสมาร์ทโฟนชื่อดัง หรือที่เราเรียกว่า Instant Messaging ถูกพบว่ามีช่องโหว่สำคัญในเว็บเบราว์เซอร์ ที่บริษัทเปิดให้ลูกค้าใช้เป็นอีกช่องทางเพื่อให้สามารถส่งข้อความได้อีกช่องทาง หากไม่ต้องการใช้สมาร์ทโฟน

 

โดยนักวิจัยทางด้านความปลอดภัยไซเบอร์เปิดเผยถึงรายละเอียดทางด้านเทคนิคที่เกี่ยวกับช่องโหว่ขั้นร้ายแรงที่เกิดขึ้นกับแอปพลิเคชันชื่อดังนี้ เพราะช่องโหว่ดังกล่าวจะส่งผลกระทบร้ายแรงกับผู้ใช้งานเป็นล้านๆคนที่ใช้ บริการบนคอมพิวเตอร์ ทั้งระบบปฏิบัติการ Windows ของ Microsoft และ macOS ของ Apple

 

นักวิจัยทางด้านความปลอดภัยไซเบอร์พบช่องโหว่ CVE-2019-18426 ซึ่งเป็นช่องโหว่ที่อยู่ในเว็บเบราว์เซอร์ของแอพลิเคชั่นชื่อดังที่ถูกออกแบบมาให้ทำงานกับระบบปฏิบัติการบนเครื่องคอมพิวเตอร์ และต้นตอของช่องโหว่ก็คือข้อบกพร่องในส่วนของ Content Security Policy (CSP) ที่นำไปสู่การโจมตีแบบ XSS ของแอปพลิเคชันบนคอมพิวเตอร์ ซึ่งแฮกเกอร์สามารถหลอกล่อเหยื่อเพื่อใช้ช่องโหว่ได้ด้วยการประดิษฐ์โค้ด JavaScript อันตรายและส่งไปหาเหยื่อให้คลิก นอกจากนี้ยังได้สาธิตการใช้งานช่องโหว่ที่ช่วยให้เขาสามารถเข้าถึงไฟล์ C:\Windows\System32\drivers\etc\hosts ให้ได้เห็นอีกด้วย

 

หากแฮกเกอร์เข้าถึงเหยื่อด้วยวิธีการดังกล่าวได้สำเร็จจะทำให้สามารถเข้าไปดูข้อมูลส่วนบุคคลของเหยื่อและขโมยออกมาได้ ไม่เพียงเท่านั้นยังสามารถล่วงรู้ถึงข้อมูลสำคัญอื่นๆได้อีกด้วย

 

หลังจากทำการรายงานปัญหานี้ไป บริษัทเจ้าของแอฟพลิเคชันดังกล่าวก็ได้มีการอุดช่องโหว่นี้เป็นที่เรียบร้อย ด้วยการปล่อยตัวอัพเดทที่แก้ไขแล้วสำหรับแอปพลิเคชันบนเครื่องคอมพิวเตอร์ออกมา นอกจากนี้ยังได้มอบเงินรางวัลประมาณ 12,500 USD จากโปรแกรม Bug Bounty ของทางบริษัทให้กับนักวิจัยทางด้านความปลอดภัยไซเบอร์ผู้ค้นพบช่องโหว่ครั้งนี้อีกด้วย

 

อย่างที่ผมเคยกล่าวไป การจะวางระบบรักษาความปลอดภัยไซเบอร์จะต้องวางแผนให้ครอบคลุมทุกส่วน ทั้งระบบ ทุกช่องทาง เพราะแม้เราวางแผนพลาดไปเพียงช่องทางเดียว แต่ความเสียหายก็สามารถลุกลามไปยังส่วนอื่นๆได้อยู่ดี

 

ซึ่งผมอยากให้มองดูถึงการตั้งรับปัญหาที่เกิดขึ้นของบริษัทที่เกิดปัญหาช่องโหว่นี้ การเปิดให้บริการแก่ลูกค้ากลุ่มใหญ่ โดยไม่รับรู้ถึงช่องโหว่ที่อาจสร้างความเสียหายให้แก่ผู้ใช้ เป็นธรรมดาที่จะทำให้ชื่อเสียงของบริษัทเสียหาย เพื่อไม่ให้เกิดภาพลักษณ์ที่ไม่ดีกับแบรนด์มากไปกว่านี้ บริษัทใหญ่ๆจึงจัดโปรแกรม Bug Bounty โดยจะจ่ายเงินรางวัลให้กับผู้ที่พบช่องโหว่ที่เกี่ยวข้องกับบริการของบริษัท

 

ข้อดีคือนอกจากจะหันเหความสนใจไปที่การแจกเงินรางวัลแล้ว ยังทำให้บริษัทมีผู้เชี่ยวชาญคอยช่วยเหลือ ตรวจสอบช่องโหว่ให้ฟรีอีกด้วย แต่อย่างไรก็ตามตัวบริษัทเองก็ต้องระวังไม่ให้เกิดช่องโหว่ขึ้นจึงจะดีที่สุดครับ

ทั้งนี้ในส่วนของผู้ใช้งานเองก็ต้องหมั่นอัพเดทซีเคียวริตี้แพตช์ไม่ว่าจะเป็นของระบบปฏิบัติการ หรือแอปพลิเคชันนั้นๆก็ดี เพราะความก้าวหน้าของระบบรักษาความปลอดภัยไซเบอร์เกิดขึ้นทุกวัน บริษัทผู้ให้บริการจึงต้องหมั่นทำการปรับปรุงสินค้าและบริการให้ปลอดภัยมากยิ่งขึ้น ซึ่งการปรับปรุงเพื่อสิ่งที่ดีกว่าจะไม่เป็นผลเลย หากลูกค้าอย่างเราไม่ได้ทำการอัพเดทด้วยตนเองเช่นกันครับ