Blockdit Logo (Mobile)
ⲥ၉𝚔𝝈ﬨʊĨᔆ𝗲𝑡
18 มิ.ย. 2019 เวลา 12:28 • วิทยาศาสตร์ & เทคโนโลยี
หลอกขอสิทธิอ่าน Notification เพื่อขโมย OTP
เตือนภัยผู้ใช้ Android พบหลอกขอสิทธิอ่าน Notification เพื่อจ่อขโมย OTP ซึ่งนำพาไปสู่การขโมยข้อมูลสำคัญเช่น แฮกโซเชียล , บริการ Cloud รวมไปถึงขโมยเงินในบัญชีธนาคารออนไลน์ด้วย โดยใช้วิธีหลอกขอสิทธิ์อ่าน notification ตัวมัลแวร์ปรากฎบน Google Play Store ในช่วงต้นเดือนมิถุนายน 2562
4
การยืนยันตัวตนแบบ 2 ปัจจัย (2-factor authentication) เป็นกระบวนการล็อกอินโดยอาศัยข้อมูล 2 อย่างมาประกอบกัน โดยทั่วไปมักจะใช้รหัสผ่านร่วมกับรหัส OTP (one-time password) ที่ได้รับทาง SMS หรืออีเมล ซึ่งปัจจุบันหลายบริการ เช่น ธนาคาร มักจะใช้วิธีการยืนยันตัวตนในรูปแบบนี้ ถึงแม้ว่าก่อนหน้านี้จะมีรายงานมัลแวร์ที่ขโมยรหัสผ่านและแอบอ่าน SMS ของเครื่องเพื่อขโมยรหัส OTP ซึ่งในช่วงหลังผู้ใช้ส่วนใหญ่ก็เริ่มตระหนักเรื่องความปลอดภัยและสังเกตพบความผิดปกติได้ง่ายขึ้น ผู้พัฒนามัลแวร์จึงเปลี่ยนไปใช้วิธีใหม่ที่แนบเนียนกว่าโดยขอสิทธิ์ในการอ่าน Notification ของระบบ
2
ในระบบปฏิบัติการ Android นั้นผู้ใช้สามารถอนุญาตให้แอปพลิเคชันเข้าถึงหรือจัดการ notification ของระบบได้ โดยแอปพลิเคชันที่ได้รับสิทธิ์นี้จะสามารถเห็นข้อความหรือข้อมูลสำคัญที่เป็นความลับได้หมด ไม่ว่าจะเป็นเนื้อหาในอีเมล ข้อความสนทนา หรือ SMS ซึ่งถึงแม้ในหน้าจอการขออนุญาตสิทธิ์เพื่อให้แอปพลิเคชันอ่าน notification จะมีการระบุถึงความเสี่ยงเหล่านี้ไว้อยู่แล้วก็ตาม แต่ผู้ใช้ก็อาจไม่ตระหนักหรือไม่สนใจและกดยินยอมมอบสิทธิ์ไปโดยง่าย
3
แอปพลิเคชันมัลแวร์ที่นักวิจัยพบนี้ชื่อ BtcTurk Pro Beta ซึ่งเป็นการตั้งชื่อเลียนแบบแอปพลิเคชันของจริงโดยมีจุดประสงค์เพื่อหลอกให้ผู้ใช้สับสน ตัวแอปพลิเคชันจะหลอกขอสิทธิ์ในการอ่าน notification และเลือกกรองเฉพาะข้อความจากแอปพลิเคชันที่น่าจะใช้เพื่อรับส่ง OTP เช่น แอปพลิเคชัน SMS หรืออีเมล โดยนอกจากการอ่านข้อความแล้ว ตัวแอปพลิเคชันยังได้รับสิทธิ์ปิดหรือลบ notification ออกด้วย เพื่อป้องกันไม่ให้ผู้ใช้รู้ตัวว่าถูกสวมรอยบัญชีแล้ว
2
ถึงแม้ว่าแอปดังกล่าวจะถูกถอดออกจาก Google Play Store ไปแล้วโดยที่ยังมียอดดาวน์โหลดไม่มากนัก แต่พฤติกรรมการขโมยข้อมูลด้วยวิธีนี้ก็เป็นตัวอย่างที่ดีถึงความเสี่ยงของการให้สิทธิ์แอปพลิเคชันเข้าถึงข้อมูลสำคัญโดยเฉพาะการอ่าน notification ดังนั้นเพื่อลดความเสี่ยงและป้องกันความเสียหาย ผู้ใช้ควรพิจารณาตรวจสอบแอปในการเข้าถึงตัวเครื่อง ก่อนกดอนุญาตให้แอปติดตั้งเข้าถึงตัวเครื่อง
2
ข้อมูลจาก welivesecurity by eset
1
โฆษณา