ในช่วงเวลาแบบนี้ ถ้าพูดถึง Spyware ที่อันตรายและน่ากลัวที่สุดสำหรับผู้ใช้สมาร์ทโฟนก็คงไม่พ้นชื่อ Pegasus ของ NGO Group ที่สามารถเข้าถึงการทำงานในระดับของ Mobile OS ได้เลย ไม่ว่าจะเป็น Android หรือ iOS ก็ตาม โดยใช้ช่องโหว่ในระดับ Zero-day Exploit และเป็น Zero-click จึงทำให้ผู้ใช้ทุกคนบนโลกใบนี้ไม่สามารถหลบเลี่ยง Spyware ตัวนี้ได้เลย
Zero Day , Zero Click คืออะไร
- Zero-day Exploit คือช่องโหว่ที่มีอยู่ แต่ยังไม่ถูกเปิดเผยต่อสาธารณะ จึงทำให้ยังไม่มีวิธีแก้ไขช่องโหว่ดังกล่าว เพราะยังไม่รู้ว่าเป็นช่องโหว่แบบไหน
- Zero-click คือ Spyware ที่ทำงานบนอุปกรณ์ได้ทันที โดยผู้ใช้ไม่ได้ทำอะไรที่เป็นการสุ่มเสี่ยงเลย ซึ่งจะต่างจาก Spyware ทั่วไปที่ต้องหลอกให้ผู้ใช้เปิดไฟล์หรือโหลดแอปที่สอดไส้ Spyware ไว้ข้างใน
ด้วยความสามารถที่น่ากลัวแบบนี้จึงทำให้ผู้ใช้ทั่วไปเกิดคำถามกันมากมายว่าจะมีวิธีไหนที่จะป้องกัน Pegasus ได้บ้าง ที่น่าเศร้าคือต้องบอกว่าในตอนนี้ยังไม่มีวิธีป้องกันใด ๆ และบทความนี้จะเจาะจงไปที่คำถามยอมนิยมอย่าง “ลงแอป Antivirus จะช่วยป้องกัน Pegasus ได้หรือไม่”
และนี่คือเหตุผลว่าทำไมแอป Antivirus ก็ช่วยอะไรไม่ได้
แอปถูกออกแบบมาให้ทำงานอยู่ภายใต้ Sandbox
เพื่อความปลอดภัยจากการใช้งานแอปบน Android และ iOS ทั้ง 2 ระบบปฏิบัติการณ์จึงออกแบบสิ่งที่เรียกว่า “Sandbox” ขึ้นมา และบังคับว่าแอปทุกตัวที่จะทำงานในอุปกรณ์เหล่านี้ จะต้องทำงานอยู่ภายใต้ Sandbox ที่ระบบปฏิบัติการณ์ได้เตรียมไว้ให้เท่านั้น
ที่ต้องทำแบบนี้ก็เพราะว่าทีมพัฒนาต้องการควบคุมและจำกัดการทำงานของแอปได้ง่าย ทำงานในขอบเขตที่เหมาะสม และไม่สามารถแทรกแซงการทำงานของแอปตัวอื่น ๆ ภายในเครื่องได้
และเมื่อแอปใด ๆ ภายในเครื่องต้องการเข้าถึงการทำงานของ OS ก็จะต้องติดต่อผ่านสิ่งที่เรียกว่า Framework API แทน และการทำงานบางอย่างที่สุ่มเสี่ยงต่อความปลอดภัยภายในเครื่องก็จะถูกควบคุมด้วยการทำงานที่แต่ละ OS ได้ออกแบบไว้ ซึ่งการทำงานหลาย ๆ อย่างบน Android และ iOS ในปัจจุบันก็จะมีความเหมือนกัน เช่น
- การใช้งานกล้องจะต้องขออนุญาต (Permission) จากผู้ใช้ก่อน ถึงจะเรียกใช้งานได้
- แอปทั่วไปจะไม่สามารถดึงข้อมูลอย่าง Serial Number, IMEI หรือแม้กระทั่ง Mac Address ของ Bluetooth และ WiFi ได้
- การเข้าถึงไฟล์ข้อมูลภายในเครื่อง ถึงแม้จะเป็นข้อมูลที่อยู่ในพื้นที่เก็บข้อมูลแบบสาธารณะ ก็จะต้องขออนุญาต (Permission) จากผู้ใช้ก่อนเสมอ
- แอปภายในเครื่องไม่สามารถแทรกแซงการทำงานระหว่างกันได้โดยตรง อาจจะส่งข้อมูลให้แอปที่ต้องการได้ (แต่ถ้าแอปปลายทางไม่ได้เปิดรับข้อมูลจากภายนอก ก็จะไม่สามารถส่งไปได้อยู่ดี) รับรู้ว่าแอปเหล่านั้นคือแอปอะไร แต่ควบคุมการทำงานของแอปเหล่านั้นโดยตรงไม่ได้
นอกจากนี้ยังมี Sandbox ระดับพิเศษสำหรับแอปที่สำคัญต่อ OS ด้วย ซึ่งจะมีสิทธิ์พิเศษเหนือกว่าแอปทั่วไปที่ทำให้เรียกใช้คำสั่งและการทำงานบางอย่างที่แอปทั่วไปไม่สามารถทำได้ ไม่ว่าจะเป็นแอป GMS หรือแอปที่ฝังไว้ใน Firmware ตั้งแต่แรกของ Android หรือแอปของ Apple โดยตรงอย่าง iMessage บน iOS เป็นต้น ซึ่งแน่นอนว่าแอปที่ผู้ใช้ดาวน์โหลดจาก Google Play หรือ App Store จะถูกจัดอยู่ใน Sandbox ระดับปกติทั้งหมด
แอป Antivirus ก็ทำงานอยู่ใน Sandbox เหมือนกับแอปทั่ว ๆ ไป
นั่นหมายความว่าแอป Antivirus ก็ไม่ได้มีความสามารถที่พิเศษกว่าแอปตัวอื่น ๆ เพราะการทำงานใด ๆ ก็จะต้องเรียกผ่าน Framework API ที่ OS เตรียมไว้ให้อยู่ดี หรือพูดง่าย ๆ ก็คือถ้าแอป Antivirus ทำอะไรได้บ้าง แอปตัวอื่น ๆ ก็สามารถทำแบบนั้นได้เช่นกัน ด้วยเหตุนี้จึงทำให้แอป Antivirus บน Android และ iOS มีข้อจำกัดมากกว่าแอปที่อยู่บน Windows, macOS หรือ Linux แบบที่หลาย ๆ คนคุ้ยเคยกัน
เช่น ตรวจสอบแอปภายในเครื่องและสามารถบอกได้ว่าแอปไหนที่มีโอกาสเป็น Spyware แต่ไม่สามารถบล็อคการทำงานหรือลบแอปตัวนั้น ๆ ทิ้งในทันทีได้ (เพราะไม่มีคำสั่งแบบนั้นให้ใช้งานใน Framework API ไม่ว่าจะเป็น Android หรือ iOS ก็ตาม)
ช่องโหว่ที่ Pegasus ใช้เป็นเทคนิคในระดับสูง
อย่างที่เรารู้กันว่า Pegasus ไม่ได้มาในรูปแบบของแอปที่ต้องติดตั้งก่อนถึงจะทำงานได้เหมือนกับ Spyware ทั่ว ๆ ไป แต่อาศัยช่องโหว่ในระดับ OS เพื่อแทรกแซงการทำงานโดยตรง และหนึ่งในเทคนิคที่ว่าคือการใช้ช่องโหว่ใน iMessage ของ iOS ที่ตอนนี้ทาง Apple อุดช่องโหว่ไปแล้ว (อ่านรายละเอียดเชิงลึกได้ใน Project Zero วิเคราะห์มัลแวร์ของ NSO Group พบสามารถสร้างระบบรันสคริปต์จากตัวบีบอัดภาพ [Blognone])
เมื่อดูรายละเอียดของช่องโหว่ดังกล่าวก็จะพบว่าเป็นเทคนิคที่ซับซ้อนมาก (ต้องใช้เทคนิคหลายแบบผสมกันเพื่อทำให้เกิดช่องโหว่ตัวนี้ขึ้นมาได้) เรียกได้ว่าแม้กระทั่งนักพัฒนาแอปบนแอนดรอยด์อย่างผู้เขียนเองก็ไม่เคยรู้มาก่อนว่าจะเทคนิคแบบนี้เพื่อทำให้เกิดช่องโหว่ในระดับ OS ได้ จนกว่าจะถูกตรวจพบและถูกวิเคราะห์ย้อนกลับโดยผู้เชี่ยวชาญด้านความปลอดภัยเพื่อดูว่าทำได้อย่างไร
ดังนั้นการที่ Pegasus เจาะการทำงานของ Sandbox เพื่อทะลุเข้าไปทำงานในระดับเดียวกับการทำงานอื่น ๆ ของ OS จึงเรียกได้ว่าเป็น Spyware ระดับสูงอันดับต้น ๆ ของโลกก็ว่าได้ และเป็นความน่ากลัวที่ NGO Group หรือทีมพัฒนา Pegasus ที่ยังมี Zero-day Exploit รูปแบบอื่นถือเก็บไว้อยู่ ซึ่งรวมไปถึงเทคนิคที่เป็น Zero-click ด้วย เราจึงไม่มีทางรู้ได้เลยว่าเมื่อเราตกเป็นเป้าหมายของ Spyware ตัวนี้ แล้วเราจะรอดพ้นได้อย่างไร
นั่นคือที่มาว่าทำไมแอป Antivirus จึงช่วยอะไรไม่ได้
ไม่ว่าจะเป็นเรื่อง Sandbox ที่ทำให้ OS อย่าง Android และ iOS สามารถควบคุมและจำกัดการทำงานของแอปได้อย่างมีประสิทธิภาพ และเทคนิคช่องโหวที่ใช้ใน Pegasus ที่ใช้เทคนิคขั้นสูง จึงทำให้ Spyware อย่าง Pegasus อยู่นอกเหนือขอบเขตที่แอป Antivirus จะช่วยเหลือได้นั่นเอง
ซึ่งแน่นอนว่านี่ไม่ใช่ข่าวดีซักเท่าไรสำหรับผู้ใช้งาน Android และ iOS ทุกคนบนโลกใบนี้อย่างแน่นอน 😢
ios ถ้าไม่เก่ามากก็ยังอัพเดต security patch เรื่อยๆ แต่ Android นี่ถ้าพ้น 2 ปีโดนลอยแพ หวานเจี๊ยบเลย เหอๆ