ขอมาส่งข่าวให้กับเหล่าผู้ใช้ iPhone กันสักเล็กน้อย เมื่อมีข่าวว่าความปลอดภัยของ Apple ถูกเจาะและอันตรายต่อการทำธุรกรรมออนไลน์ โดยเฉพาะธุรกรรมการเงิน ซึ่งปัญหานี้ได้รับการแก้ไขแล้วในอัพเดทล่าสุด iOS 7.0.6 เมื่อปลายสัปดาห์ที่ผ่านมา แต่ที่ต้องเอามาบอกกันเพราะหลายๆคนเห็นอัพเดทเล็กๆน้อยๆแล้วก็มักจะไม่ค่อยกดกันนั่นเองจ้า

iOS 7.0.6 อัพเดทอะไร? 

“an attacker with a privileged network position may capture or modify data in sessions protected by SSL/TLS.”

ด้านบนคือส่วนที่ระบบแจ้งมาซึ่งคนธรรมดาทั่วไปอ่านแล้วก็คงงงๆ มันเกี่ยวกับอะไรเหรอ? แต่สำหรับเหล่าผู้เชี่ยวชาญและคนที่เข้าใจปัญหาก็ออกมาแจ้งเตือนกันให้วุ่นเพราะทราบถึงความรุนแรงของปัญหานี้ดี และมักจะไม่ได้ให้รายละเอียดอะไรมากเพราะนั่นอาจจะเป็นการชี้ช่องให้เหล่า Hacker ไปแทน

พูดสั้นๆคือ “มันสามารถดูหรือแก้ไขข้อมูลที่เข้ารหัสได้” เช่น ข้อความใน Line, สเตตัสบน Facebook, user/pass เว็บต่างๆ, ฯลฯ


SSL/TLS คืออะไร?

ขออธิบายง่ายๆว่ามันคือตัวที่ช่วยให้เรามั่นใจได้ว่าข้อมูลของเรามีการเข้ารหัสเอาไว้ ยืนยันตัวตนว่าเรากับเว็บไซต์ทำการคุยกันอย่างถูกคน ไม่ได้โดนคนร้ายสร้างเว็บปลอมขึ้นมาหลอก มีกุญแจสำหรับการถอดรหัสข้อมูลทั้งสองฝั่งเอาไว้ โดยเว็บไซต์ใหญ่ๆดังๆรวมถึงเหล่าธนาคารจะใช้กันทั้งสิ้น ซึ่งโดยปกติจะค่อนข้างปลอดภัย แม้ว่าจะเล่นผ่าน WiFi ที่ไม่ได้ทำการเข้ารหัสเอาไว้ก็ตาม เราสามารถสังเกตเว็บที่มีการใช้งาน SSL/TLS ได้จากกุญแจล็อคด้านบน ซึ่งถ้าเป็นตามภาพด้านล่างจะถือว่าปกติ แต่ถ้าเป็นสีอื่นหรือสีแดงและปลดล็อคก็แสดงว่ามีความเสี่ยงในการใช้งาน 

แต่จากประเด็นปัญหาที่เกิดขึ้นนี้ การตรวจสอบยืนยันข้อมูลทำได้ไม่ 100% และเปิดโอกาสให้ผู้ไม่หวังดี มาเป็นคนกลางการับส่งข้อมูลนี้ได้ (Man in the Middle Attack)

 

อะไรคือ Man in the Middle Attack (MitM) ?

คำอธิบายก็ตรงๆตัวคือเป็นคนกลางการรับส่งข้อมูล คือ แทนที่ว่าเราจะสามารถคุยกับเว็บไซต์ที่เราต้องการได้โดยตรง แต่ข้อมูลทั้งหมดจะวิ่งผ่านคนๆนี้ก่อน ทำให้เค้าเห็นว่าเราส่งข้อมูลอะไรไปที่เว็บไซต์บ้าง ไม่ว่าจะเข้าข้อความบน Line, User/Pass ของเว็บต่างๆ, เราเข้าเว็บอะไร, ฯลฯ หรือเรียกว่าเค้าจะได้รับข้อมูลเหมือนๆที่เราได้รับหรือส่งออกเลย และการเล่น WiFi สาธารณะก็มีความเสี่ยงในรูปแบบนี้

การโจมตีแบบ MitM ปกติตัว SSL/TLS มันจะช่วยป้องกันได้ในระดับนึง hacker จะเข้าไปเป็นคนกลางหรือแอบเจาะข้อมูลเป็นไปได้ยากขึ้นกว่าเดิมมาก แต่ด้วย bug ของ Apple ตัวนี้ทำให้เหล่าคนร้ายเจาะผ่านไปได้อย่างง่ายดายดั่งปอกกล้วยเข้าปาก (ขอไม่อธิบายเพิ่มเติมในส่วนนี้ ไปลองหาอ่านเพิ่มเติมเอาเองนะ)

 

แล้วจะป้องกันได้อย่างไร?

คนที่ใช้ iOS 7 ก็รีบไปกดอัพเดทขึ้น iOS 7.0.6 กันให้ไว แต่สำหรับ 3GS ก็อัพเดทเป็น 6.1.6 แค่นี้ก็โอเคแล้ว

และปัญหานี้จริงๆแล้วเกิดขึ้นใน Mac OS X ด้วย ซึ่งผู้เชี่ยวชาญด้านความปลอดภัยต่างให้คำแนะนำว่าเลิกใช้ Safari ไปก่อนเลยจนกว่าทาง Apple จะทำการแก้ไขปัญหานี้ หรือเลือกใช้ Firefox หรือ Chrome แทน เนื่องจากไม่ได้รับผลกระทบนี้ครับ

ปล. การทำธุรกรรมการเงิน ยังคงแนะนำให้ทำบน 3G หรือ WiFi network ที่ทำการเข้ารหัส และไม่ได้เปิดให้ใช้สาธารณะอยู่ดี

ปล.2 ผู้เชี่ยวชาญด้านความปลอดภัยท่านใดมีอะไรชี้แนะ โปรดเขียนมาในคอมเม้นท์ด้านล่างได้เลยนะครับ 🙂

source: Gizmodo