ปัจจุบันแอปพลิเคชันรับรองการฉีดวัคซีนโควิดถูกนำมาใช้ในการเดินทางเข้าออกประเทศต่าง ๆ อย่างแพร่หลาย แต่จากการตรวจสอบพบว่า แอปพลิเคชันเหล่านี้ กว่า 2 ใน 3 มีความเสี่ยงสูงที่ข้อมูลส่วนตัวของผู้ใช้งานจะรั่วไหล เนื่องจากแอปฯเหล่านี้มีผู้ใช้งานทั่วโลก เป็นจุดอ่อนให้แฮกเกอร์สามารถเข้าถึงได้ง่าย

พาสปอร์ตแบบดิจิทัล (Digital passports)

แอปพลิเคชันพาสปอร์ตแบบดิจิทัล (Digital passport apps) มักจะมีข้อมูลส่วนตัวของผู้ใช้ เช่น สถานะการฉีดวัคซีน, ชื่อ นามสกุล, เลขบัตรประชาชน, วันเดือนปีเกิด, และข้อมูลส่วนบุคคลอื่นที่สามารถระบุตัวตนของบุคคลได้ (personally identifiable information (PII)) โดยข้อมูลดังกล่าวอาจอยู่ในรูปแบบ QR code หรืออาจแสดงเป็นข้อความที่สามารถพบเห็นได้ทันทีเมื่อเข้าแอปฯ ผู้ใช้สามารถนำ QR code หรือหลักฐานรับรองการฉีดวัคซีนในแอปมายืนยัน เมื่อต้องการเข้าพื้นที่ต่างๆ ไม่ว่าจะเป็นพื้นที่ปกติ หรือพื้นที่เสี่ยง และโดยส่วนใหญ่แล้วหน่วยงานของรัฐที่ทำงานด้านสาธารณสุขหรือด้านเทคโนโลยีมักจะเป็นผู้อนุญาตให้มีการพัฒนาแอปฯเหล่านี้ขึ้น ทีมงานของ Symantec ได้ทำการตรวจสอบแอปฯเหล่านี้กว่า 40 แอปฯ และทีมงานได้ทำการตรวจสอบแอปพลิเคชัน validation (scanner) ที่ใช้สำหรับตรวจสอบความถูกต้องของข้อมูลอีก 10 แอปฯ พบว่า 27 แอปฯมีความเสี่ยงด้านความปลอดภัย และความเป็นส่วนตัว ดังนี้

ความเสี่ยงแรกที่ทีมงานตรวจพบก็คือ แอปฯเหล่านี้มักจะสร้าง QR code ที่ไม่ผ่านการเข้ารหัส encryption มีการเข้ารหัส encoding เพียงเล็กน้อยเท่านั้น Encoding คือ การเปลี่ยนรูปแบบของข้อมูล ซึ่งในกรณีนี้คือ ข้อมูลสุขภาพของผู้ใช้งานให้อยู่ในรูปแบบที่ง่ายต่อการสแกน และนำไปใช้ต่อ ในขณะที่ Encryption คือ การเปลี่ยนข้อมูลโดยใช้ cryptographic algorithms ทำให้ข้อมูลไม่สามารถถูกอ่านหรือเข้าถึงง่าย ซึ่งจะมีหน่วยงานเพียงไม่กี่หน่วยงานที่สามารถถอดรหัส และเข้าถึงข้อมูลนั้นได้ การใช้ Encoding เพียงอย่างเดียว ทำให้ใครก็ตามที่สามารถสแกน QR code ได้ สามารถเข้าถึงข้อมูลได้ นอกจากนี้ อีกปัญหาที่ทีมงานตรวจสอบพบก็คือ 38% ของแอปฯมีการส่งผ่านข้อมูลทั้งหมดผ่าน cloud-storage โดยไม่มีการเชื่อม HTTPS ทำให้ข้อมูลเสี่ยงที่จะถูก “man-in-the-middle” ได้
ปัญหาที่สามคือการจัดเก็บข้อมูลในฐานข้อมูลภายนอกของ Android ซึ่งมีความเสี่ยงสูง เพราะจะทำให้แอปฯสามารถเข้าถึงข้อมูลต่างๆภายในโทรศัพท์ได้ทันที โดยพบ 17 แอปฯ จาก 40 แอปฯ ที่มีปัญหานี้ (คิดเป็น 43%)
จุดอ่อนอื่นๆที่พบเช่น hard-coded cloud service credentials และ SSL CA validation ก็ทำให้เกิดความเสี่ยงเช่นเดียวกัน

การลดความเสี่ยง
หากท่านมีความจำเป็นที่จะต้องใช้งานแอปพลิเคชันเหล่านี้ แนะนำให้หลีกเลี่ยงการใช้แอปจาก third-party ที่ขาดความน่าเชื่อถือ เลือกใช้งานแอปฯจากบริษัทที่มีความน่าเชื่อถือสูง เช่น Apple Health และ Google Wallet นอกจากนี้ขณะติดตั้ง ให้ท่านอ่านเงื่อนไขต่างๆที่แอปฯต้องการ และเลือกไม่อนุญาตให้แอปเข้าถึงข้อมูลที่ไม่เกี่ยวข้องกับการทำงานหลักของแอปฯ หากแอปฯดังกล่าวถูกออกแบบมาเพื่อรับรองการฉีดวัคซีนโควิดเพียงอย่างเดียวจริงๆ จะต้องสามารถทำงานได้ แม้จะไม่ได้รับอนุญาตให้เข้าถึงข้อมูลบางส่วนก็ตามที่อาจทำให้เกิดความเสี่ยงได้

ที่มา : bleepingcomputer