แอปพลิเคชันบนมือถือด้านสุขภาพจิตหลายรายการซึ่งมียอดดาวน์โหลดหลายล้านครั้งบน Google Play ถูกพบว่ามีช่องโหว่ด้านความปลอดภัย ซึ่งอาจส่งผลให้ข้อมูลที่มีความสำคัญทางการแพทย์ของผู้ใช้งานเกิดการรั่วไหลได้
โดยหนึ่งในแอปพลิเคชันดังกล่าว นักวิจัยด้านความปลอดภัยตรวจพบช่องโหว่ที่มีความรุนแรงในระดับปานกลาง และระดับสูงมากกว่า 85 รายการ ซึ่งอาจถูกใช้เป็นช่องทางในการเจาะระบบเพื่อละเมิดข้อมูลการบำบัด และความเป็นส่วนตัวของผู้ใช้งานได้
ซึ่งผลิตภัณฑ์บางรายการเป็นระบบ AI Companion ที่ได้รับการออกแบบมาเพื่อช่วยเหลือผู้ที่กำลังเผชิญกับโรคซึมเศร้า โรควิตกกังวลในหลายรูปแบบ รวมไปถึงอาการแพนิก (Panic attacks) ความเครียด และโรคอารมณ์สองขั้ว (Bipolar disorder)
โดยมีอย่างน้อย 6 จาก 10 แอปพลิเคชันที่ได้รับการวิเคราะห์ถูกระบุว่า บทสนทนา หรือข้อความแชทของผู้ใช้งานจะถูกเก็บรักษาไว้เป็นความลับ หรือได้รับการเข้ารหัสอย่างปลอดภัยบนเซิร์ฟเวอร์ของผู้ให้บริการ
ทาง Sergey Toshin ผู้ก่อตั้ง Oversecured บริษัทด้านความปลอดภัยบนโทรศัพท์มือถือระบุเพิ่มเติมว่า “ข้อมูลด้านสุขภาพจิตมีความเสี่ยงเฉพาะตัว โดยบนดาร์กเว็บ (Dark Web) ประวัติการบำบัดมีราคาซื้อขายอยู่ที่ 1,000 ดอลลาร์สหรัฐฯ หรือมากกว่าต่อหนึ่งรายการ ซึ่งมีมูลค่าสูงกว่าข้อมูลหมายเลขบัตรเครดิตเป็นอย่างมาก”
พบปัญหาด้านความปลอดภัยทางไซเบอร์กว่า 1,500 รายการ
Oversecured ได้ทำการสแกนแอปพลิเคชันบนมือถือจำนวน 10 รายการ ที่โฆษณาว่าเป็นเครื่องมือสำหรับช่วยเหลือผู้ที่มีปัญหาสุขภาพจิตในด้านต่าง ๆ และได้ค้นพบช่องโหว่ด้านความปลอดภัยรวมทั้งสิ้น 1,575 รายการ (จัดอยู่ในระดับความรุนแรงสูง 54 รายการ ระดับความรุนแรงปานกลาง 538 รายการ และระดับความรุนแรงต่ำ 983 รายการ)
แม้ว่าช่องโหว่ที่ถูกค้นพบจะไม่มีช่องโหว่ใดที่อยู่ในระดับ Critical แต่ช่องโหว่จำนวนมากสามารถถูกนำมาใช้เป็นช่องทางในการดักจับข้อมูลที่ใช้ในการเข้าสู่ระบบ เช่น Login credentials รวมถึงการปลอมแปลงการแจ้งเตือน (Spoofing notifications) การโจมตีแบบ HTML Injection หรือการระบุตำแหน่งที่อยู่ของผู้ใช้งานได้
นักวิจัยได้ใช้เครื่องมือสแกนของ Oversecured ในการตรวจสอบไฟล์ APK ของแอปพลิเคชันด้านสุขภาพจิตทั้ง 10 รายการ เพื่อค้นหารูปแบบของช่องโหว่ที่เป็นที่รู้จัก (Known vulnerability patterns) ในหลายสิบหมวดหมู่
ในส่วนของรายงานที่มีการเปิดเผย ทางนักวิจัยระบุว่า แอปพลิเคชันที่ได้รับการตรวจสอบบางส่วน “ไม่มีการตรวจสอบความถูกต้อง (Validation) ที่เพียงพอในส่วนของการประมวลผลข้อมูล URI ที่ผู้ใช้งานป้อนเข้ามา”
โดยมีแอปพลิเคชันเพื่อการบำบัดรายการหนึ่งที่มียอดดาวน์โหลดมากกว่าหนึ่งล้านครั้ง มีการเรียกใช้ฟังก์ชัน Intent.parseUri() กับชุดข้อมูลสตริงที่ถูกควบคุมจากภายนอก และทำการเรียกใช้งานออบเจ็กต์การส่งข้อความ Messaging Object หรือ Intent ที่เป็นผลลัพธ์ โดยไม่มีการตรวจสอบความถูกต้องขององค์ประกอบเป้าหมาย
ซึ่งส่งผลให้ผู้โจมตีสามารถบังคับให้แอปพลิเคชันเปิดการทำงานภายในใด ๆ ก็ได้ แม้ว่าการทำงานนั้นจะไม่ได้ถูกกำหนดให้เข้าถึงได้จากภายนอกก็ตาม
Oversecured อธิบายว่า “เนื่องจากการทำงานภายใน (Internal Activities) เหล่านี้ มักทำหน้าที่จัดการกับ Authentication Tokens และข้อมูลเซสชัน การเจาะระบบผ่านช่องโหว่ดังกล่าวจึงอาจทำให้ผู้โจมตีสามารถเข้าถึงประวัติการบำบัดของผู้ใช้งานได้”
ปัญหาอีกประการหนึ่งคือการจัดเก็บข้อมูลลงในอุปกรณ์ในลักษณะที่เปิดสิทธิ์ในการอ่านให้แก่แอปพลิเคชันใด ๆ ก็ตามที่ติดตั้งอยู่บนอุปกรณ์ ซึ่งอาจส่งผลให้รายละเอียดเกี่ยวกับการบำบัดเกิดการรั่วไหลได้ โดยขึ้นอยู่กับข้อมูลที่ได้รับการบันทึกไว้ เช่น บันทึกข้อมูลการบำบัด บันทึกการทำจิตบำบัดแบบปรับความคิด และพฤติกรรม และคะแนนการประเมินในด้านต่าง ๆ
Oversecured ระบุว่า พวกเขายังตรวจพบข้อมูล Configuration Data ในรูปแบบ Plaintext ซึ่งรวมถึง Backend API Endpoints และ URL ของฐานข้อมูล Firebase ที่ถูกฝังไว้ในโค้ดโดยตรง ภายใน Resource ของไฟล์ APK
นอกจากนี้ แอปพลิเคชันที่มีช่องโหว่บางรายการยังมีการใช้งานคลาส java.util.Random ซึ่งไม่มีความปลอดภัยในเชิง Cryptographically เพื่อใช้ในการสร้าง Session Tokens หรือ Encryption Keys
ตามที่นักวิจัยระบุ “แอปพลิเคชันส่วนใหญ่จากทั้งหมด 10 รายการ ขาดกลไกการตรวจจับการรูทเครื่องในทุกรูปแบบ” ซึ่งบนอุปกรณ์ที่ผ่านการรูท หรือเจลเบรกนั้น ส่งผลให้แอปพลิเคชันใด ๆ ที่ได้รับสิทธิ์ระดับรูท จะสามารถเข้าถึงข้อมูลด้านสุขภาพทั้งหมดที่ถูกจัดเก็บไว้ภายในอุปกรณ์ได้
Oversecured ระบุว่า 6 จาก 10 แอปพลิเคชันที่ได้รับการวิเคราะห์ “ไม่พบช่องโหว่ระดับความรุนแรงสูงเลย แต่ยังคงพบปัญหาด้านความปลอดภัยในระดับความรุนแรงปานกลาง ซึ่งส่งผลให้สถานะความมั่นคงปลอดภัยโดยรวมแย่ลง”
นักวิจัยระบุว่า “แอปพลิเคชันเหล่านี้มีการรวบรวม และจัดเก็บข้อมูลส่วนบุคคลที่มีความสำคัญสูงที่สุดบางส่วนบนอุปกรณ์มือถือ ซึ่งได้แก่ บันทึกการทำบำบัด, บันทึกอารมณ์ความรู้สึก, ตารางการใช้ยา, ตัวบ่งชี้พฤติกรรมการทำร้ายตนเอง และในบางกรณี ยังรวมถึงข้อมูลที่ได้รับการคุ้มครองภายใต้กฎหมาย HIPAA”
ยอดดาวน์โหลดรวมของแอปพลิเคชันที่ผ่านการตรวจสอบโดย Oversecured นั้นมีมากกว่า 14.7 ล้านครั้ง และมีเพียง 4 รายการเท่านั้นที่ได้รับการอัปเดตล่าสุดในเดือนนี้ แต่สำหรับแอปพลิเคชันที่เหลือนั้น การอัปเดตครั้งล่าสุดเกิดขึ้นเมื่อเดือนพฤศจิกายน 2025 หรืออาจย้อนกลับไปถึงเดือนกันยายน 2024
การตรวจสอบของ Oversecured เกิดขึ้นระหว่างวันที่ 22 ถึง 23 มกราคม โดยทำการทดสอบกับแอปพลิเคชันเวอร์ชันล่าสุดที่เปิดให้ใช้งานในช่วงเวลาดังกล่าว ทั้งนี้ ทางทีมนักวิจัยไม่สามารถยืนยันได้ว่าช่องโหว่ที่ตรวจพบเหล่านั้นได้รับการแก้ไขแล้วหรือไม่
ที่มา : bleepingcomputer
You must be logged in to post a comment.