นักวิจัยพบแอปธนาคาร HSBC, TunnelBear VPN เสี่ยงโดนดักข้อมูลแม้ใช้งาน SSL/TLS เนื่องจากตั้งค่าไม่ถูกต้อง

กลุ่มนักวิจัยจาก University of Birmingham พัฒนาซอฟต์แวร์สำหรับตรวจสอบแอปพลิเคชันที่ทำ certificate pinning ว่ามีการทำ host verification ด้วยหรือไม่ ซึ่งจากการทดสอบแอปพลิเคชันของธนาคารทั้ง HSBC, Bank of America, Meezan และ Smile พบว่าไม่มีการทำ host verification อย่างถูกต้องและอาจส่งผลให้ผู้โจมตีมีโอกาสที่จะทำการดักข้อมูลและถอดรหัสแม้ว่าจะมีการใช้ SSL/TLS ได้

Host verification เป็นกระบวนการตรวจสอบว่า hostname ซึ่งปรากฎอยู่บน certificate นั้นถูกต้องตรงกับ hostname ที่เราต้องการจะติดต่อด้วยหรือไม่ อย่างไรก็ตามแอปพลิเคชันที่เน้นเรื่องความปลอดภัยโดยส่วนใหญ่จะมีการทำ certificate pinning ซึ่งทำให้การทดสอบ (อย่างมีประสิทธิภาพ) ว่าแอปมีการทำ host verification อย่างถูกต้องหรือไม่เป็นไปได้ยากขึ้น

กลุ่มนักวิจัยดังกล่าวได้นำเสนอซอฟต์แวร์ Spinner ซึ่งช่วยในการทดสอบแอปแบบ black-box ได้ ซอฟต์แวร์ Spinner ทำหน้าที่ในการรับทราฟิกที่ส่งมาจากผู้ใช้งาน จากนั้นมันจะทำการตรวจสอบข้อมูลเพื่อหาโฮสต์อื่นๆ ที่มีการใช้ certificate ที่มาจาก CA เดียวกันผ่านทางเซอร์วิส Censys เมื่อเจอแล้ว Spinner จะทดสอบรีไดเร็คทราฟิกของผู้ใช้งานไปยังโฮสต์เหล่านั้นและดูพฤติกรรมการตอบรับ หากการส่งข้อมูลนั้นไม่เกิดข้อผิดพลาดใดๆ ก็สามารถตีความได้ว่าแอปไม่มีการทำ host verification อย่างเหมาะสม

ที่มา : thehackernews