Share
รายละเอียดของข่าว

เป็นเรื่องราวข่าวใหญ่ไม่น้อย เมื่อมีนักวิจัยไปค้นพบช่องโหว่ที่อาจจะเป็นอันตราย และอาจจะเป็นช่องทางให้แฮกเกอร์เข้าถึงข้อมูลผู้ใช้บนระบบปฏิบัติการแอนดรอยด์ ซึ่งตัวแอพที่เป็นปัญหาคือ ClientLogin ซึ่งถือเป็นแอพพื้นฐานที่ถูกเรียกใช้จากแอพหลายๆตัวบนแอนดรอยด์ที่มีการผูกเข้ากับบัญชีของ Google 

โดยช่องโหว่ดังกล่าวเกิดขึ้นระหว่างขั้นตอนการยืนยันการล็อกอิน ซึ่งในการทำงานของ ClientLogin นั้น จะเริ่มต้นด้วยการที่ผู้ใช้ทำการกรอดข้อมูลชื่อบัญชีผู้ใช้และรหัสผ่าน และทาง ClientLogin จะส่งข้อมูลดังกล่าวกลับไปยัง server ผ่านทาง HTTPS และหากข้อมูลถูกต้อง server ของ Google ก็จะส่ง authentication token (เรียกสั้นๆว่า authToken) กลับมายัง ClientLogin เพื่อเป็นการบอกว่าข้อมูลถูกต้องและได้ทำการล็อกอินเชื่อมต่อแล้ว ซึ่ง ClientLogin ก็จะทำการส่ง authToken ที่ได้รับมาให้กับแอพที่ต้องการเชื่อมต่อกับบัญชีดังกล่าว เพื่อใช้แนบไปกับการร้องขอในการเชื่อมต่อกับ server ต่อไป


ปัญหาเกิดตรงในส่วนของ authToken ซึ่งถูกค้นพบว่ามันไม่ได้ถูกเข้ารหัสไว้ และ authToken ยังมีอายุการใช้งานนานถึง 2 สัปดาห์ ซึ่งแฮกเกอร์สามารถที่จะเข้าถึง authToken และนำไปใช้ได้ หากผู้ใช้ทำการเชื่อมต่อกับเครือข่ายไร้สายสาธารณะที่ไม่มีการตั้งค่าความปลอดภัย หรือเข้ารหัสไว้ (เช่น Wi-Fi ตามร้านกาแฟ เป็นต้น) 

ล่าสุด Google ได้ออกมาบอกว่ารับทราบถึงปัญหาดังกล่าวแล้ว แต่บอกว่าปัญหานี้ไม่ใช่เรื่องใหญ่โตอะไร และสามารถแก้ได้ง่ายๆด้วยการไปแก้โค้ดทางฝั่ง server ของ Google เอง โดยขณะนี้ได้ดำเนินการแก้โค้ดบน server ที่ใช้เชื่อมต่อกับ Gmail และ Calendar แล้ว ส่วน server ที่เชื่อมต่อกับบริการ Picasa จะได้รับการแก้ไขในเวลาต่อไป

บริษัท บลูโอเชี่ยน คอมมิวนิเคชั่น จำกัด | โทรศัพท์: (02) 402-8844