fbpx
News

เจอช่องโหว่บน Android 4.3 ลงไป โหลดแอพแปลกๆใช้ WebView โปรดระวัง

ใครที่ใช้แอพที่แสดงผลผ่าน WebView คงต้องตื่นตัวกันหน่อยแล้ว เพราะ Rapid7 ออกมาประกาศว่าพบช่วงโหว่ด้านความปลอดภัยบน WebView และเมื่อแจ้ง Google ก็ได้คำตอบกลับมาว่า จะทำการแก้ไขช่องโหว่นี้ให้กับ Android 5.0 และ 4.4 เท่านั้น โดยถ้าใครแจคพอตไปเจอแอพที่ไม่ประสงค์ดีเหล่านี้ก็มีสิทธิ์โดนเจาะทะลวงไส้ดึงข้อมูลต่างๆพร้อมพาสเวิร์ดไปได้ทันทีเดี๋ยวๆๆ…Webview มันคืออะไรน่ะ?

ใครที่ใช้แอพที่แสดงผลผ่าน WebView คงต้องตื่นตัวกันหน่อยแล้ว เพราะ Rapid7 ออกมาประกาศว่าพบช่วงโหว่ด้านความปลอดภัยบน WebView และเมื่อแจ้ง Google ก็ได้คำตอบกลับมาว่า จะทำการแก้ไขช่องโหว่นี้ให้กับ Android 5.0 และ 4.4 เท่านั้น โดยถ้าใครแจคพอตไปเจอแอพที่ไม่ประสงค์ดีเหล่านี้ก็มีสิทธิ์โดนเจาะทะลวงไส้ดึงข้อมูลต่างๆพร้อมพาสเวิร์ดไปได้ทันที

เดี๋ยวๆๆ…Webview มันคืออะไรน่ะ?

WebView เป็นสิ่งที่มีบน Android มาช้านานตั้งแต่สมัยที่นักพัฒนาไม่อยากทำแอปตัวเดียวสองครั้ง บน Android ชุดหนึ่งและ iOS ชุดหนึ่ง โดยหลายๆคนเลือกใช้ WebView ที่เป็นการทำหน้าตาและเมนูบางส่วนขึ้นมาเป็นแอพ แต่ว่าตรงส่วนแสดงผลจะดึงจากหน้าเว็บมาแสดง หรือเรียกอีกอย่างว่าทำแอพครอบตัวเอา web browser ซึ่งวิธีนี้จะง่ายต่อการพัฒนา ลดการทำซ้ำ แต่ยุคถัดมานั้นได้รับความนิยมน้อยลง ด้วยประสิทธิภาพและประสบการณ์ใช้งานที่ไม่ดีเท่าไหร่

ปัจจุบันยังเห็นแอพไทยบางเจ้ายังลักไก่ใช้ WebView อยู่ ไม่ยอมเขียนเป็น Native ขึ้นมาใหม่ ซึ่งก็มีสิทธิ์เจอปัญหาความปลอดภัยนี้เช่นกัน โดยเฉพาะแอปที่เกี่ยวกับธุรกรรมทางการเงินจะน่ากลัวเป็นพิเศษเลย

  
ตัวอย่าง Application ในไทยที่ยังใช้ WebView อยู่

เหตุผลที่ Google เลือกที่จะทำการแก้ไข้ช่องโหว่ให้กับ Android 4.4 ขึ้นไปเท่านั้นเพราะว่า ใน Android 4.4 นั้นไม่ได้ใช้ WebView ของ Stock Android Browser อีกต่อไปแล้ว แต่เปลี่ยนมาใช้ของ Chrome for Android จึงทำให้การอัพเดตต่างๆนั้นเป็นไปตามที่ทีมพัฒนา Chrome ทำออกมา นอกจากนั้น ใน Android 5.0 นั้น Google ได้ย้าย WebView ออกจากส่วนหนึ่งของระบบปฏิบัติการ มาเป็นส่วนหนึ่งของ Google Play Services แทน ทำให้สามารถดูแลได้ง่ายขึ้น

Rapid 7 คือใคร?

Rapid 7 เป็นคนชุมชน Open-source Security Community หรือกลุ่มผู้ที่พัฒนาด้านความปลอดภัยโดยไม่หวังผลกำไร ซึ่งค่อยทำหน้าที่ตรวจสอบช่องโหว่ของระบบต่างๆ เมื่อพบช่องโหว่ เขาจะทำการประกาศให้โลกรู้ว่า มีช่องโหว่ตรงนี้นะ เพื่อเป็นการบังคับให้เจ้าของซอฟต์แวร์นั้นๆ (ในที่นี้คือเหล่าผู้ผลิตมือถือและ Google) ให้ออกอัพเดตมาปิดช่องโหว่นั้นๆก่อนที่จะสายเกินไป ซึ่งปกติแล้วเหล่าบริษัทเหล่านั้นก็จะยอมออกอัพเดตมาเพราะไม่อยากให้ลูกค้าโดนเจาะข้อมูล แต่ในกรณีนี้ Google กลับบอกว่า 4.3 ลงไปไม่อัพเดตให้นะจ๊ะ ทั้งๆที่ Open-source Security Community ก็ประกาศช่องโหว่นี้ไปแล้ว ทำให้เกิดเป็นประเด็นที่หลายๆคนห่วงกันขึ้นมา

แล้วถ้า Google ไม่แก้ไขช่องโหว่ให้ แล้วใครจะทำหล่ะ? Google ก็ตอบมาง่ายๆว่า ใครก็ได้ทำมาเถอะ เดี๋ยวจะตรวจสอบให้ แต่ฉันไม่ทำนะ อ่าวๆ แล้วทีนี้จะทำยังไงดีหล่ะ? Google ก็ให้คำแนะนำอย่างตรงไปตรงมาว่า “ก็เปลี่ยนไปใช้ KitKat หรือ Lollipop ซะสิ จะได้ปลอดภัย” แหม่ พูดง่ายแต่ทำยากเหลือเกิน ผมนี้ลุกขึ้นยืนบนแพเลย

แล้วถ้าไม่ปิดช่องโหว่นี้หล่ะ จะเป็นอะไรไหม? เป็นครับ แต่เฉพาะในกรณีที่เราไปโหลดแอพแปลกๆซึ่งบังคับให้เราต้อง Login บริการต่างๆแอพเขา หรือถ้าเราเป็นคนที่ใช้ Browser ตัวที่มากับเครื่องไม่ใช่ Chrome ซึ่งผลกระทบก็อาจจะเป็นได้ตั้งแต่เรื่องเล็กๆอย่าง โดนขโมยรหัส login Facebook, Twitter หรืออาจจะเป็นเรื่องใหญ่ขนาด โดนขโมยรหัส Mobile Banking, ล้วงข้อมูลสำคัญจากอีเมลล์บริษัท ฯลฯ

ในส่วนของวิธีแก้ไข ก็ไม่ยากแค่หลีกเลี่ยงการใช้งาน Stock Browser หรือ Application ที่มี WebView เป็นส่วนประกอบ และเปลี่ยนไปใช้ Chrome for Android แทน


สัดส่วนผู้ใช้ Android Version ต่างๆในปัจจุบัน

ถ้าจะให้มองภาพรวมกว้างๆ ยังมี Android Smartphone กว่า 60% ที่ใช้ Android เวอร์ชั่น 4.3 หรือต่ำกว่า ทำให้มีผู้ที่ได้รับผลกระทบเป็นวงกว้างมากๆ rapid7 หนึ่งใน Open-source Security Community ได้ออกมาขอให้ Google ทบทวนการตัดสินใจนี้ใหม่และหันกลับมาแก้ไขช่องโหว่ให้ Android 4.3 ลงไป เพราะถ้า Google ไม่หันกลับมาแก้ไขตรงนี้ เราคงต้องทนใช้ชีวิตอยู่บนความเสี่ยงจนกว่าได้ฤกษ์เปลี่ยนมือถือใหม่

Source: Blognonerapid7

11 Comments

  1. mewzira

    mewzira Post on January 15, 2015 at 2:08 am

    #886769

    AIS eService เลยหรอ ดีนะใช้แค่ดูค่าใช้จ่าย แต่ต้องกรอก เลขบัตร ด้วยนี่จะเป็นไรไหมนะ

    • Kraizis

      Kraizis Post on January 15, 2015 at 6:53 am

      #886812

      อันตรายจะเกิด เมื่อเรากรอกอะไรซักอย่างครับ
      จะมากน้อย ก็ขึ้นกับว่ากรอกอะไรลงไป

    • Avatar

      neng15 Post on January 16, 2015 at 12:31 am

      #886930

      มันเข้าไปเปลี่ยนโปรเปลี่ยนอะไรของเราได้จากใน eservice ด้วยนะสิครับ น่ากลัวตรงนี้ด้วย

  2. Avatar

    nuttyme Post on January 15, 2015 at 7:00 am

    #886813

    Streaming for android ครับ รีบๆทำให้เหมือนแอปของiosเถอะ ได้โปรด

  3. HoLY CoMM@nDo

    HoLY CoMM@nDo Post on January 15, 2015 at 5:16 pm

    #886837

    การที่ Google บอกจะไม่แก้ไขช่องโหว่ WebView ใน Android เวอร์ชัน 4.3 ลงไป พูดเหมือนบังคับให้ผู้บริโภคอัปเดต 4.4.x โดยไม่ดูว่า เครื่องโทรศัพท์แต่ละคนใช้ทั่วโลกใช้อยู่นั้น รองรับการอัปเดตจากยี่ห้อนั้นๆ หรือไม่ …ต่อให้เครื่องรองรับ 4.4.x ได้สบาย (หรือพอใช้ได้ทั่วไป) แต่ถ้าเจ้าของแบรนด์ไม่ปล่อย ROM ศูนย์ของตัวเองออกมาอัปเดตมันก็เท่านั้นหละ (กับสัญญาที่กำหนดไว้ว่า จะอัปเดต ROM ตัวใหม่ๆ แค่ 18 เดือน ซึ่งงี่เว่าจริงๆ iOS ยังไม่เห็นกำหนดเงื่อนไขแบบนั้น) นอกจากว่าผู้ใช้อย่างเราๆ จะผันตัวเองเข้าสู่โหมด Advanced แล้วไปสรรหา ROM Modify ที่มี Developer ทำเอาไว้ มาติดตั้งกันเอง และใช่ว่าใครๆ จะกล้าทำแบบนั้นด้วย เนื่องจากเกรงกว่าเครื่องตัวเองจะใช้การไม่ได้เลยอีกตลอดกาลหากทำการติดตั้งพลาด

    ถ้า Google คิดจะไม่แก้ไข ทำไมไม่ออกแบบ Core หลักของ Android ให้สามารถอัปเดตโดย Google ได้ จะได้ไม่ต้องพึ่งพาแบรนด์ต่างๆ รับไปทำแล้วปล่อยอัปเดต ซึ่งเราๆ ก็รู้กันอยู่ ว่าถ้าแบรนด์นั้นๆ ไม่ออกอัปเดตซะอย่างใครจะทำอะไรได้ (ยกเว้นเข้าโหมด Advanced หาลง ROM Modify มาติดตั้ง) แค่นี้ก็ทำให้เครื่องที่ฮาร์ดแวร์รองรับ อัปเดตไปได้ไกลกกว่าที่เป็นอยู่แล้ว เหมือนกับที่ iOS ทำ ไม่งั้นก็ควรมีเครื่องที่ใช้ 4.4.4 มากกว่า 60% นี้แล้วแท้ๆ (ส่วนใครจะอัปหรือไม่อัปเดตก็เป็นเรื่องส่วนบุคคลแล้ว)

    คิดๆ ไปแล้ว อายุของ Smart Phone, Tablet Android นั้น ช่างมีอายุที่สั้นซะเหลือเกิน ต่างจาก PC จริงๆ ต่อให้ฮาร์ดนั้นผ่านมาแล้ว 5-6 ปี ก็ยังใช้ Windows 8.1 ล่าสุดได้ (เครื่องผม Core 2 Duo 3.0GHz อยู่เลย แค่เปลี่ยนการ์ดจอให้ดีขึ้น และเพิ่ม RAM เข้าไปเป็น 4GB ก็ทำให้ใช้งานได้อีกยาวไกลแล้ว)

  4. Avatar

    Yuttaset Post on January 15, 2015 at 6:15 pm

    #886850

    แล้วจะมาโม้ว่าปลอดภัยกว่า iOS ขนาดเป็นข่าวขนาดนี้ มันยังไม่แก้ไขเลย แล้วที่ไม่เป็นข่าวมันจะทำเหรอ … โม้ไปวันๆ

  5. kom1812

    kom1812 Post on January 15, 2015 at 6:24 pm

    #886853

    แล้ว scb easy , ktb, k-mobile หละครับ อันนี่ webview มั้ยครับ ถามแบบไม่รู้

    • EthanFirst

      EthanFirst Post on January 15, 2015 at 11:38 pm

      #886910

      User ส่วนใหญ่ มักไม่รู้เช่นกันครับ ขนาดว่าผมเป็น Dev บางทียังดูไม่ออกเลยว่าใช้ WebView

    • nope

      nope Post on January 16, 2015 at 5:48 pm

      #887064

      เข้า Setting > Developer options > ติ๊กที่ Show layout bounds
      แล้วเปิดแอพที่เราสงสัยดูครับ

  6. krungkasem

    krungkasem Post on January 15, 2015 at 7:43 pm

    #886869

    จะหลอกให้เปลี่ยนเครื่องล่ะสิ รู้สึกเหมือนวินโดว์จะเคยเล่นมุกแนวๆนี้มาก่อนนะ

  7. iristoh

    iristoh Post on January 16, 2015 at 4:00 am

    #886976

    ผมเขาฮั้วกันมาแล้วกับผู้ผลิตมือถือแหละครับ
    เป็นการบังคับกลายๆให้ต้องซื้อมือถือใหม่ ทั้งแอนดรอยด์ทั้งมือถือ วินวิน

Leave a Reply

To Top