แอปพลิเคชันรับรองการฉีดวัคซีนโควิด (COVID passport apps) ทำให้ผู้ใช้เผชิญกับความเสี่ยงจากการถูกละเมิดข้อมูลส่วนตัว

COVID passport app

ปัจจุบันแอปพลิเคชันรับรองการฉีดวัคซีนโควิดถูกนำมาใช้ในการเดินทางเข้าออกประเทศต่าง ๆ อย่างแพร่หลาย แต่จากการตรวจสอบพบว่า แอปพลิเคชันเหล่านี้ กว่า 2 ใน 3 มีความเสี่ยงสูงที่ข้อมูลส่วนตัวของผู้ใช้งานจะรั่วไหล เนื่องจากแอปฯเหล่านี้มีผู้ใช้งานทั่วโลก เป็นจุดอ่อนให้แฮกเกอร์สามารถเข้าถึงได้ง่าย

พาสปอร์ตแบบดิจิทัล (Digital passports)

แอปพลิเคชันพาสปอร์ตแบบดิจิทัล (Digital passport apps) มักจะมีข้อมูลส่วนตัวของผู้ใช้ เช่น สถานะการฉีดวัคซีน, ชื่อ นามสกุล, เลขบัตรประชาชน, วันเดือนปีเกิด, และข้อมูลส่วนบุคคลอื่นที่สามารถระบุตัวตนของบุคคลได้ (personally identifiable information (PII)) โดยข้อมูลดังกล่าวอาจอยู่ในรูปแบบ QR code หรืออาจแสดงเป็นข้อความที่สามารถพบเห็นได้ทันทีเมื่อเข้าแอปฯ ผู้ใช้สามารถนำ QR code หรือหลักฐานรับรองการฉีดวัคซีนในแอปมายืนยัน เมื่อต้องการเข้าพื้นที่ต่างๆ ไม่ว่าจะเป็นพื้นที่ปกติ หรือพื้นที่เสี่ยง และโดยส่วนใหญ่แล้วหน่วยงานของรัฐที่ทำงานด้านสาธารณสุขหรือด้านเทคโนโลยีมักจะเป็นผู้อนุญาตให้มีการพัฒนาแอปฯเหล่านี้ขึ้น ทีมงานของ Symantec ได้ทำการตรวจสอบแอปฯเหล่านี้กว่า 40 แอปฯ และทีมงานได้ทำการตรวจสอบแอปพลิเคชัน validation (scanner) ที่ใช้สำหรับตรวจสอบความถูกต้องของข้อมูลอีก 10 แอปฯ พบว่า 27 แอปฯมีความเสี่ยงด้านความปลอดภัย และความเป็นส่วนตัว ดังนี้

  • ความเสี่ยงแรกที่ทีมงานตรวจพบก็คือ แอปฯเหล่านี้มักจะสร้าง QR code ที่ไม่ผ่านการเข้ารหัส encryption มีการเข้ารหัส encoding เพียงเล็กน้อยเท่านั้น Encoding คือ การเปลี่ยนรูปแบบของข้อมูล ซึ่งในกรณีนี้คือ ข้อมูลสุขภาพของผู้ใช้งานให้อยู่ในรูปแบบที่ง่ายต่อการสแกน และนำไปใช้ต่อ ในขณะที่ Encryption คือ การเปลี่ยนข้อมูลโดยใช้ cryptographic algorithms ทำให้ข้อมูลไม่สามารถถูกอ่านหรือเข้าถึงง่าย ซึ่งจะมีหน่วยงานเพียงไม่กี่หน่วยงานที่สามารถถอดรหัส และเข้าถึงข้อมูลนั้นได้ การใช้ Encoding เพียงอย่างเดียว ทำให้ใครก็ตามที่สามารถสแกน QR code ได้ สามารถเข้าถึงข้อมูลได้ นอกจากนี้ อีกปัญหาที่ทีมงานตรวจสอบพบก็คือ 38% ของแอปฯมีการส่งผ่านข้อมูลทั้งหมดผ่าน cloud-storage โดยไม่มีการเชื่อม HTTPS ทำให้ข้อมูลเสี่ยงที่จะถูก “man-in-the-middle” ได้
  • ปัญหาที่สามคือการจัดเก็บข้อมูลในฐานข้อมูลภายนอกของ Android ซึ่งมีความเสี่ยงสูง เพราะจะทำให้แอปฯสามารถเข้าถึงข้อมูลต่างๆภายในโทรศัพท์ได้ทันที โดยพบ 17 แอปฯ จาก 40 แอปฯ ที่มีปัญหานี้ (คิดเป็น 43%)
  • จุดอ่อนอื่นๆที่พบเช่น hard-coded cloud service credentials และ SSL CA validation ก็ทำให้เกิดความเสี่ยงเช่นเดียวกัน

Most prevalent privacy issues on vaccination apps

Number of apps carrying each type of problem
การลดความเสี่ยง
หากท่านมีความจำเป็นที่จะต้องใช้งานแอปพลิเคชันเหล่านี้ แนะนำให้หลีกเลี่ยงการใช้แอปจาก third-party ที่ขาดความน่าเชื่อถือ เลือกใช้งานแอปฯจากบริษัทที่มีความน่าเชื่อถือสูง เช่น Apple Health และ Google Wallet นอกจากนี้ขณะติดตั้ง ให้ท่านอ่านเงื่อนไขต่างๆที่แอปฯต้องการ และเลือกไม่อนุญาตให้แอปเข้าถึงข้อมูลที่ไม่เกี่ยวข้องกับการทำงานหลักของแอปฯ หากแอปฯดังกล่าวถูกออกแบบมาเพื่อรับรองการฉีดวัคซีนโควิดเพียงอย่างเดียวจริงๆ จะต้องสามารถทำงานได้ แม้จะไม่ได้รับอนุญาตให้เข้าถึงข้อมูลบางส่วนก็ตามที่อาจทำให้เกิดความเสี่ยงได้

ที่มา : bleepingcomputer