fbpx
Editorial

ทำไมแอป Antivirus บนมือถือไม่สามารถป้องกัน Spyware อย่าง Pegasus ได้

ในช่วงเวลาแบบนี้ ถ้าพูดถึง Spyware ที่อันตรายและน่ากลัวที่สุดสำหรับผู้ใช้สมาร์ทโฟนก็คงไม่พ้นชื่อ Pegasus ของ NGO Group ที่สามารถเข้าถึงการทำงานในระดับของ Mobile OS ได้เลย ไม่ว่าจะเป็น Android หรือ iOS ก็ตาม โดยใช้ช่องโหว่ในระดับ Zero-day Exploit และเป็น Zero-click จึงทำให้ผู้ใช้ทุกคนบนโลกใบนี้ไม่สามารถหลบเลี่ยง Spyware ตัวนี้ได้เลย

Zero Day , Zero Click คืออะไร

  • Zero-day Exploit คือช่องโหว่ที่มีอยู่ แต่ยังไม่ถูกเปิดเผยต่อสาธารณะ จึงทำให้ยังไม่มีวิธีแก้ไขช่องโหว่ดังกล่าว เพราะยังไม่รู้ว่าเป็นช่องโหว่แบบไหน
  • Zero-click คือ Spyware ที่ทำงานบนอุปกรณ์ได้ทันที โดยผู้ใช้ไม่ได้ทำอะไรที่เป็นการสุ่มเสี่ยงเลย ซึ่งจะต่างจาก Spyware ทั่วไปที่ต้องหลอกให้ผู้ใช้เปิดไฟล์หรือโหลดแอปที่สอดไส้ Spyware ไว้ข้างใน

ด้วยความสามารถที่น่ากลัวแบบนี้จึงทำให้ผู้ใช้ทั่วไปเกิดคำถามกันมากมายว่าจะมีวิธีไหนที่จะป้องกัน Pegasus ได้บ้าง ที่น่าเศร้าคือต้องบอกว่าในตอนนี้ยังไม่มีวิธีป้องกันใด ๆ และบทความนี้จะเจาะจงไปที่คำถามยอมนิยมอย่าง “ลงแอป Antivirus จะช่วยป้องกัน Pegasus ได้หรือไม่”

และนี่คือเหตุผลว่าทำไมแอป Antivirus ก็ช่วยอะไรไม่ได้

แอปถูกออกแบบมาให้ทำงานอยู่ภายใต้ Sandbox

เพื่อความปลอดภัยจากการใช้งานแอปบน Android และ iOS ทั้ง 2 ระบบปฏิบัติการณ์จึงออกแบบสิ่งที่เรียกว่า “Sandbox” ขึ้นมา และบังคับว่าแอปทุกตัวที่จะทำงานในอุปกรณ์เหล่านี้ จะต้องทำงานอยู่ภายใต้ Sandbox ที่ระบบปฏิบัติการณ์ได้เตรียมไว้ให้เท่านั้น

ที่ต้องทำแบบนี้ก็เพราะว่าทีมพัฒนาต้องการควบคุมและจำกัดการทำงานของแอปได้ง่าย ทำงานในขอบเขตที่เหมาะสม และไม่สามารถแทรกแซงการทำงานของแอปตัวอื่น ๆ ภายในเครื่องได้

และเมื่อแอปใด ๆ ภายในเครื่องต้องการเข้าถึงการทำงานของ OS ก็จะต้องติดต่อผ่านสิ่งที่เรียกว่า Framework API แทน และการทำงานบางอย่างที่สุ่มเสี่ยงต่อความปลอดภัยภายในเครื่องก็จะถูกควบคุมด้วยการทำงานที่แต่ละ OS ได้ออกแบบไว้ ซึ่งการทำงานหลาย ๆ อย่างบน Android และ iOS ในปัจจุบันก็จะมีความเหมือนกัน เช่น

  • การใช้งานกล้องจะต้องขออนุญาต (Permission) จากผู้ใช้ก่อน ถึงจะเรียกใช้งานได้
  • แอปทั่วไปจะไม่สามารถดึงข้อมูลอย่าง Serial Number, IMEI หรือแม้กระทั่ง Mac Address ของ Bluetooth และ WiFi ได้
  • การเข้าถึงไฟล์ข้อมูลภายในเครื่อง ถึงแม้จะเป็นข้อมูลที่อยู่ในพื้นที่เก็บข้อมูลแบบสาธารณะ ก็จะต้องขออนุญาต (Permission) จากผู้ใช้ก่อนเสมอ
  • แอปภายในเครื่องไม่สามารถแทรกแซงการทำงานระหว่างกันได้โดยตรง อาจจะส่งข้อมูลให้แอปที่ต้องการได้ (แต่ถ้าแอปปลายทางไม่ได้เปิดรับข้อมูลจากภายนอก ก็จะไม่สามารถส่งไปได้อยู่ดี) รับรู้ว่าแอปเหล่านั้นคือแอปอะไร แต่ควบคุมการทำงานของแอปเหล่านั้นโดยตรงไม่ได้

นอกจากนี้ยังมี Sandbox ระดับพิเศษสำหรับแอปที่สำคัญต่อ OS ด้วย ซึ่งจะมีสิทธิ์พิเศษเหนือกว่าแอปทั่วไปที่ทำให้เรียกใช้คำสั่งและการทำงานบางอย่างที่แอปทั่วไปไม่สามารถทำได้ ไม่ว่าจะเป็นแอป GMS หรือแอปที่ฝังไว้ใน Firmware ตั้งแต่แรกของ Android หรือแอปของ Apple โดยตรงอย่าง iMessage บน iOS เป็นต้น ซึ่งแน่นอนว่าแอปที่ผู้ใช้ดาวน์โหลดจาก Google Play หรือ App Store จะถูกจัดอยู่ใน Sandbox ระดับปกติทั้งหมด

แอป Antivirus ก็ทำงานอยู่ใน Sandbox เหมือนกับแอปทั่ว ๆ ไป

นั่นหมายความว่าแอป Antivirus ก็ไม่ได้มีความสามารถที่พิเศษกว่าแอปตัวอื่น ๆ เพราะการทำงานใด ๆ ก็จะต้องเรียกผ่าน Framework API ที่ OS เตรียมไว้ให้อยู่ดี หรือพูดง่าย ๆ ก็คือถ้าแอป Antivirus ทำอะไรได้บ้าง แอปตัวอื่น ๆ ก็สามารถทำแบบนั้นได้เช่นกัน ด้วยเหตุนี้จึงทำให้แอป Antivirus บน Android และ iOS มีข้อจำกัดมากกว่าแอปที่อยู่บน Windows, macOS หรือ Linux แบบที่หลาย ๆ คนคุ้ยเคยกัน

เช่น ตรวจสอบแอปภายในเครื่องและสามารถบอกได้ว่าแอปไหนที่มีโอกาสเป็น Spyware แต่ไม่สามารถบล็อคการทำงานหรือลบแอปตัวนั้น ๆ ทิ้งในทันทีได้ (เพราะไม่มีคำสั่งแบบนั้นให้ใช้งานใน Framework API ไม่ว่าจะเป็น Android หรือ iOS ก็ตาม)

ช่องโหว่ที่ Pegasus ใช้เป็นเทคนิคในระดับสูง

อย่างที่เรารู้กันว่า Pegasus ไม่ได้มาในรูปแบบของแอปที่ต้องติดตั้งก่อนถึงจะทำงานได้เหมือนกับ Spyware ทั่ว ๆ ไป แต่อาศัยช่องโหว่ในระดับ OS เพื่อแทรกแซงการทำงานโดยตรง และหนึ่งในเทคนิคที่ว่าคือการใช้ช่องโหว่ใน iMessage ของ iOS ที่ตอนนี้ทาง Apple อุดช่องโหว่ไปแล้ว (อ่านรายละเอียดเชิงลึกได้ใน Project Zero วิเคราะห์มัลแวร์ของ NSO Group พบสามารถสร้างระบบรันสคริปต์จากตัวบีบอัดภาพ [Blognone])

เมื่อดูรายละเอียดของช่องโหว่ดังกล่าวก็จะพบว่าเป็นเทคนิคที่ซับซ้อนมาก (ต้องใช้เทคนิคหลายแบบผสมกันเพื่อทำให้เกิดช่องโหว่ตัวนี้ขึ้นมาได้) เรียกได้ว่าแม้กระทั่งนักพัฒนาแอปบนแอนดรอยด์อย่างผู้เขียนเองก็ไม่เคยรู้มาก่อนว่าจะเทคนิคแบบนี้เพื่อทำให้เกิดช่องโหว่ในระดับ OS ได้ จนกว่าจะถูกตรวจพบและถูกวิเคราะห์ย้อนกลับโดยผู้เชี่ยวชาญด้านความปลอดภัยเพื่อดูว่าทำได้อย่างไร

ดังนั้นการที่ Pegasus เจาะการทำงานของ Sandbox เพื่อทะลุเข้าไปทำงานในระดับเดียวกับการทำงานอื่น ๆ ของ OS จึงเรียกได้ว่าเป็น Spyware ระดับสูงอันดับต้น ๆ ของโลกก็ว่าได้ และเป็นความน่ากลัวที่ NGO Group หรือทีมพัฒนา Pegasus ที่ยังมี Zero-day Exploit รูปแบบอื่นถือเก็บไว้อยู่ ซึ่งรวมไปถึงเทคนิคที่เป็น Zero-click ด้วย เราจึงไม่มีทางรู้ได้เลยว่าเมื่อเราตกเป็นเป้าหมายของ Spyware ตัวนี้ แล้วเราจะรอดพ้นได้อย่างไร

นั่นคือที่มาว่าทำไมแอป Antivirus จึงช่วยอะไรไม่ได้

ไม่ว่าจะเป็นเรื่อง Sandbox ที่ทำให้ OS อย่าง Android และ iOS สามารถควบคุมและจำกัดการทำงานของแอปได้อย่างมีประสิทธิภาพ และเทคนิคช่องโหวที่ใช้ใน Pegasus ที่ใช้เทคนิคขั้นสูง จึงทำให้ Spyware อย่าง Pegasus อยู่นอกเหนือขอบเขตที่แอป Antivirus จะช่วยเหลือได้นั่นเอง

ซึ่งแน่นอนว่านี่ไม่ใช่ข่าวดีซักเท่าไรสำหรับผู้ใช้งาน Android และ iOS ทุกคนบนโลกใบนี้อย่างแน่นอน 😢

1 Comment

  1. redondo16 Post on August 2, 2022 at 8:46 am

    #1032676

    ios ถ้าไม่เก่ามากก็ยังอัพเดต security patch เรื่อยๆ แต่ Android นี่ถ้าพ้น 2 ปีโดนลอยแพ หวานเจี๊ยบเลย เหอๆ

Leave a Reply

To Top

เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว และสามารถจัดการความเป็นส่วนตัวเองได้ของคุณได้เองโดยคลิกที่ ตั้งค่า

Privacy Preferences

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

Allow All
Manage Consent Preferences
  • Always Active

Save