แอปควบคุมการใช้งานสมาร์ตโฟนสำหรับเด็กในเกาหลีไต้มีช่องโหว่จำนวนมาก, ส่งประวัติการใช้เว็บโดยไม่เข้ารหัส

เกาหลีใต้มีนโยบายให้ผู้ให้บริการโทรศัพท์มือถือสำหรับเด็กต้องมีมาตรการควบคุมการใช้งานให้กับผู้ปกครอง ทางกสทช.เกาหลี (Korean Communications Commission – KCC) ออกมาสนับสนุนสมาคมธุรกิจอินเทอร์เน็ตเกาหลี (Korean Mobile Internet Business Association – MOIBA) ด้วยเงินถึง 3.18 พันล้านวอนหรือประมาณ 100 ล้านบาท ให้พัฒนาแอปพลิเคชั่น Smart Sheriff แต่ Citizen Lab กลับพบว่าแอพพลิเคชั่นตัวนี้มีช่องโหว่จำนวนมาก

ช่องโหว่ที่ Citizen Labs ตรวจสอบพบได้แก่

– ข้อมูลส่วนบุคคลไม่ได้เก็บ, หรือส่งกลับเซิร์ฟเวอร์อย่างปลอดภัย ถูกดักฟังได้ง่าย
– แอปพลิเคชั่นสามารถถูกยิงโค้ดเข้ามารันได้
– การออกแบบมีช่องโหว่ทำให้ผู้ปกครองควบคุมการใช้งานไม่ได้จริง
– บัญชีลงทะเบียนโดยไม่มีการตรวจสอบยืนยันอย่างถูกต้อง
– แม้จะปิดบริการบล็อคเว็บไปแล้ว แต่ตัวแอปพลิเคชั่นยังส่งประวัติการเข้าเว็บกลับเซิร์ฟเวอร์อย่างต่อเนื่อง
– เซิร์ฟเวอร์ไม่มีการจำกัดการใช้งาน ทำให้เสี่ยงต่อการถูกยิงด้วยการเชื่อมต่อปริมาณมากๆ

หลังจาก Citizen Lab รายงานเรื่องนี้กลับไปยัง MOIBA ทาง MOIBA ก็ปรับให้การเชื่อมต่อกลับเซิร์ฟเวอร์มีการเข้ารหัส แต่ตัวแอปพลิเคชั่นก็ยังคงไม่ตรวจสอบใบรับรองของเซิร์ฟเวอร์ทำให้เสี่ยงต่อการดักคั่นการเชื่อมต่ออยู่ดี

เกาหลีใต้เป็นประเทศที่มีประวัติคำนึงถึงความปลอดภัยข้อมูลมายาวนาน ในยุคที่สหรัฐฯ ห้ามส่งออกกระบวนการเข้ารหัสที่แข็งแกร่งเกิน 40 บิต เกาหลีใต้พัฒนากระบวนการ SEED ที่มีความแข็งแกร่ง 128 บิตขึ้นมาใช้งานเองผ่าน ActiveX ในแง่ของข้อมูลส่วนตัว เกาหลีใต้มีกฎหมาย Personal Information Protection Act (PIPA) ระบุว่าต้องมีมาตรการคุ้มครองข้อมูลส่วนตัว เช่น การเข้ารหัสข้อมูลเมื่อมีการเก็บหรือส่งต่อข้อมูลเหล่านี้

ที่มา – Citizen Lab

Citizen Lab, Privacy, South Korea

from:https://www.blognone.com/node/72732