ใครที่ใช้แอพที่แสดงผลผ่าน WebView คงต้องตื่นตัวกันหน่อยแล้ว เพราะ Rapid7 ออกมาประกาศว่าพบช่วงโหว่ด้านความปลอดภัยบน WebView และเมื่อแจ้ง Google ก็ได้คำตอบกลับมาว่า จะทำการแก้ไขช่องโหว่นี้ให้กับ Android 5.0 และ 4.4 เท่านั้น โดยถ้าใครแจคพอตไปเจอแอพที่ไม่ประสงค์ดีเหล่านี้ก็มีสิทธิ์โดนเจาะทะลวงไส้ดึงข้อมูลต่างๆพร้อมพาสเวิร์ดไปได้ทันที
เดี๋ยวๆๆ…Webview มันคืออะไรน่ะ?
WebView เป็นสิ่งที่มีบน Android มาช้านานตั้งแต่สมัยที่นักพัฒนาไม่อยากทำแอปตัวเดียวสองครั้ง บน Android ชุดหนึ่งและ iOS ชุดหนึ่ง โดยหลายๆคนเลือกใช้ WebView ที่เป็นการทำหน้าตาและเมนูบางส่วนขึ้นมาเป็นแอพ แต่ว่าตรงส่วนแสดงผลจะดึงจากหน้าเว็บมาแสดง หรือเรียกอีกอย่างว่าทำแอพครอบตัวเอา web browser ซึ่งวิธีนี้จะง่ายต่อการพัฒนา ลดการทำซ้ำ แต่ยุคถัดมานั้นได้รับความนิยมน้อยลง ด้วยประสิทธิภาพและประสบการณ์ใช้งานที่ไม่ดีเท่าไหร่
ปัจจุบันยังเห็นแอพไทยบางเจ้ายังลักไก่ใช้ WebView อยู่ ไม่ยอมเขียนเป็น Native ขึ้นมาใหม่ ซึ่งก็มีสิทธิ์เจอปัญหาความปลอดภัยนี้เช่นกัน โดยเฉพาะแอปที่เกี่ยวกับธุรกรรมทางการเงินจะน่ากลัวเป็นพิเศษเลย
ตัวอย่าง Application ในไทยที่ยังใช้ WebView อยู่
เหตุผลที่ Google เลือกที่จะทำการแก้ไข้ช่องโหว่ให้กับ Android 4.4 ขึ้นไปเท่านั้นเพราะว่า ใน Android 4.4 นั้นไม่ได้ใช้ WebView ของ Stock Android Browser อีกต่อไปแล้ว แต่เปลี่ยนมาใช้ของ Chrome for Android จึงทำให้การอัพเดตต่างๆนั้นเป็นไปตามที่ทีมพัฒนา Chrome ทำออกมา นอกจากนั้น ใน Android 5.0 นั้น Google ได้ย้าย WebView ออกจากส่วนหนึ่งของระบบปฏิบัติการ มาเป็นส่วนหนึ่งของ Google Play Services แทน ทำให้สามารถดูแลได้ง่ายขึ้น
Rapid 7 คือใคร?
Rapid 7 เป็นคนชุมชน Open-source Security Community หรือกลุ่มผู้ที่พัฒนาด้านความปลอดภัยโดยไม่หวังผลกำไร ซึ่งค่อยทำหน้าที่ตรวจสอบช่องโหว่ของระบบต่างๆ เมื่อพบช่องโหว่ เขาจะทำการประกาศให้โลกรู้ว่า มีช่องโหว่ตรงนี้นะ เพื่อเป็นการบังคับให้เจ้าของซอฟต์แวร์นั้นๆ (ในที่นี้คือเหล่าผู้ผลิตมือถือและ Google) ให้ออกอัพเดตมาปิดช่องโหว่นั้นๆก่อนที่จะสายเกินไป ซึ่งปกติแล้วเหล่าบริษัทเหล่านั้นก็จะยอมออกอัพเดตมาเพราะไม่อยากให้ลูกค้าโดนเจาะข้อมูล แต่ในกรณีนี้ Google กลับบอกว่า 4.3 ลงไปไม่อัพเดตให้นะจ๊ะ ทั้งๆที่ Open-source Security Community ก็ประกาศช่องโหว่นี้ไปแล้ว ทำให้เกิดเป็นประเด็นที่หลายๆคนห่วงกันขึ้นมา
แล้วถ้า Google ไม่แก้ไขช่องโหว่ให้ แล้วใครจะทำหล่ะ? Google ก็ตอบมาง่ายๆว่า ใครก็ได้ทำมาเถอะ เดี๋ยวจะตรวจสอบให้ แต่ฉันไม่ทำนะ อ่าวๆ แล้วทีนี้จะทำยังไงดีหล่ะ? Google ก็ให้คำแนะนำอย่างตรงไปตรงมาว่า “ก็เปลี่ยนไปใช้ KitKat หรือ Lollipop ซะสิ จะได้ปลอดภัย” แหม่ พูดง่ายแต่ทำยากเหลือเกิน ผมนี้ลุกขึ้นยืนบนแพเลย
แล้วถ้าไม่ปิดช่องโหว่นี้หล่ะ จะเป็นอะไรไหม? เป็นครับ แต่เฉพาะในกรณีที่เราไปโหลดแอพแปลกๆซึ่งบังคับให้เราต้อง Login บริการต่างๆแอพเขา หรือถ้าเราเป็นคนที่ใช้ Browser ตัวที่มากับเครื่องไม่ใช่ Chrome ซึ่งผลกระทบก็อาจจะเป็นได้ตั้งแต่เรื่องเล็กๆอย่าง โดนขโมยรหัส login Facebook, Twitter หรืออาจจะเป็นเรื่องใหญ่ขนาด โดนขโมยรหัส Mobile Banking, ล้วงข้อมูลสำคัญจากอีเมลล์บริษัท ฯลฯ
ในส่วนของวิธีแก้ไข ก็ไม่ยากแค่หลีกเลี่ยงการใช้งาน Stock Browser หรือ Application ที่มี WebView เป็นส่วนประกอบ และเปลี่ยนไปใช้ Chrome for Android แทน
สัดส่วนผู้ใช้ Android Version ต่างๆในปัจจุบัน
ถ้าจะให้มองภาพรวมกว้างๆ ยังมี Android Smartphone กว่า 60% ที่ใช้ Android เวอร์ชั่น 4.3 หรือต่ำกว่า ทำให้มีผู้ที่ได้รับผลกระทบเป็นวงกว้างมากๆ rapid7 หนึ่งใน Open-source Security Community ได้ออกมาขอให้ Google ทบทวนการตัดสินใจนี้ใหม่และหันกลับมาแก้ไขช่องโหว่ให้ Android 4.3 ลงไป เพราะถ้า Google ไม่หันกลับมาแก้ไขตรงนี้ เราคงต้องทนใช้ชีวิตอยู่บนความเสี่ยงจนกว่าได้ฤกษ์เปลี่ยนมือถือใหม่
AIS eService เลยหรอ ดีนะใช้แค่ดูค่าใช้จ่าย แต่ต้องกรอก เลขบัตร ด้วยนี่จะเป็นไรไหมนะ
อันตรายจะเกิด เมื่อเรากรอกอะไรซักอย่างครับ
จะมากน้อย ก็ขึ้นกับว่ากรอกอะไรลงไป
มันเข้าไปเปลี่ยนโปรเปลี่ยนอะไรของเราได้จากใน eservice ด้วยนะสิครับ น่ากลัวตรงนี้ด้วย
Streaming for android ครับ รีบๆทำให้เหมือนแอปของiosเถอะ ได้โปรด
การที่ Google บอกจะไม่แก้ไขช่องโหว่ WebView ใน Android เวอร์ชัน 4.3 ลงไป พูดเหมือนบังคับให้ผู้บริโภคอัปเดต 4.4.x โดยไม่ดูว่า เครื่องโทรศัพท์แต่ละคนใช้ทั่วโลกใช้อยู่นั้น รองรับการอัปเดตจากยี่ห้อนั้นๆ หรือไม่ …ต่อให้เครื่องรองรับ 4.4.x ได้สบาย (หรือพอใช้ได้ทั่วไป) แต่ถ้าเจ้าของแบรนด์ไม่ปล่อย ROM ศูนย์ของตัวเองออกมาอัปเดตมันก็เท่านั้นหละ (กับสัญญาที่กำหนดไว้ว่า จะอัปเดต ROM ตัวใหม่ๆ แค่ 18 เดือน ซึ่งงี่เว่าจริงๆ iOS ยังไม่เห็นกำหนดเงื่อนไขแบบนั้น) นอกจากว่าผู้ใช้อย่างเราๆ จะผันตัวเองเข้าสู่โหมด Advanced แล้วไปสรรหา ROM Modify ที่มี Developer ทำเอาไว้ มาติดตั้งกันเอง และใช่ว่าใครๆ จะกล้าทำแบบนั้นด้วย เนื่องจากเกรงกว่าเครื่องตัวเองจะใช้การไม่ได้เลยอีกตลอดกาลหากทำการติดตั้งพลาด
ถ้า Google คิดจะไม่แก้ไข ทำไมไม่ออกแบบ Core หลักของ Android ให้สามารถอัปเดตโดย Google ได้ จะได้ไม่ต้องพึ่งพาแบรนด์ต่างๆ รับไปทำแล้วปล่อยอัปเดต ซึ่งเราๆ ก็รู้กันอยู่ ว่าถ้าแบรนด์นั้นๆ ไม่ออกอัปเดตซะอย่างใครจะทำอะไรได้ (ยกเว้นเข้าโหมด Advanced หาลง ROM Modify มาติดตั้ง) แค่นี้ก็ทำให้เครื่องที่ฮาร์ดแวร์รองรับ อัปเดตไปได้ไกลกกว่าที่เป็นอยู่แล้ว เหมือนกับที่ iOS ทำ ไม่งั้นก็ควรมีเครื่องที่ใช้ 4.4.4 มากกว่า 60% นี้แล้วแท้ๆ (ส่วนใครจะอัปหรือไม่อัปเดตก็เป็นเรื่องส่วนบุคคลแล้ว)
คิดๆ ไปแล้ว อายุของ Smart Phone, Tablet Android นั้น ช่างมีอายุที่สั้นซะเหลือเกิน ต่างจาก PC จริงๆ ต่อให้ฮาร์ดนั้นผ่านมาแล้ว 5-6 ปี ก็ยังใช้ Windows 8.1 ล่าสุดได้ (เครื่องผม Core 2 Duo 3.0GHz อยู่เลย แค่เปลี่ยนการ์ดจอให้ดีขึ้น และเพิ่ม RAM เข้าไปเป็น 4GB ก็ทำให้ใช้งานได้อีกยาวไกลแล้ว)
แล้วจะมาโม้ว่าปลอดภัยกว่า iOS ขนาดเป็นข่าวขนาดนี้ มันยังไม่แก้ไขเลย แล้วที่ไม่เป็นข่าวมันจะทำเหรอ … โม้ไปวันๆ
แล้ว scb easy , ktb, k-mobile หละครับ อันนี่ webview มั้ยครับ ถามแบบไม่รู้
User ส่วนใหญ่ มักไม่รู้เช่นกันครับ ขนาดว่าผมเป็น Dev บางทียังดูไม่ออกเลยว่าใช้ WebView
เข้า Setting > Developer options > ติ๊กที่ Show layout bounds
แล้วเปิดแอพที่เราสงสัยดูครับ
จะหลอกให้เปลี่ยนเครื่องล่ะสิ รู้สึกเหมือนวินโดว์จะเคยเล่นมุกแนวๆนี้มาก่อนนะ
ผมเขาฮั้วกันมาแล้วกับผู้ผลิตมือถือแหละครับ
เป็นการบังคับกลายๆให้ต้องซื้อมือถือใหม่ ทั้งแอนดรอยด์ทั้งมือถือ วินวิน