 |
จนมาเจอ Youtube นี้ของ WSJ ในอีกวันนึง มันตอบคำถามหมดเลยว่าทำไมผมอยู่ดีๆจึงทำแบบนั้น
ตอนนี้ผมได้วิธีป้องกันการเข้าถึงการแก้ไขรหัสและ iCloud Account แล้ว ตามไปอ่านและรีบทำตามโดยด่วนครับ วิธีแก้เกมมิจฉาชีพขโมย iPhone และรู้ Passcode เรา {alertWarning}
Passcode ของ Apple Device มีจุดอ่อนอย่างร้ายแรง เรื่องมันเกิดที่ Bar แห่งหนึงใน New York City ผู้หญิงที่ถูกคนแปลกหน้าชวนคุยและมาพบภายหลังว่าโทรศัพท์ iPhone ของเธอถูกขโมย การถูกขโมยโดยปกติก็แค่เสียโทรศัพท์ไปเพราะ Apple มีระบบ Security ที่(เคย)ดีที่สุดอันนึง ถ้าใครเคยกด Passcode ผิดสักพักนึงจะรู้ว่า Apple จะไม่ให้ใส่ Passcode ใหม่จนกว่าจะถึงเวลาที่กำหนด และจะทวีคูณเรื่อยๆถ้ายังใส่ผิด และถ้าจำไม่ผิด ไม่มีการ Reset ด้วย แปลว่าถึงแม้จะใส่ผิดแล้วทิ้งไว้เป็นวันๆกลับมา ถ้ายังผิดมันก็ลงโทษด้วยการเพิ่มเวลารอไปอีก
แต่ที่ ผู้หญิงคนนั้นเจอไม่ใช่แค่เสียโทรศัพท์ไป เธอสูญเสียเงิน ความทรงจำ และความเป็นส่วนตัวทั้งหมดของเธอไป
รู้ PassCode ไปแล้วทำอะไรได้บ้าง
แน่นอนคือเข้าถึงAppพื้นฐานได้เกือบหมดเลย ผมจะยกตัวอย่างเพิ่มจากประสบการณ์และข้อมูลที่ได้จากการสังเกตเวลาทำ User TestingiCloud Account : จะเป็นสิ่งแรกที่โจรจะทำ และด้วย iOS ปัจจุบัน 16.3.1 ยังคงมีช่องโหว่ตรงนี้อยู่ ดูจาก Flow ที่ผมทำมาเป็นตัวอย่าง ถ้าคุณรู้ Passcode ของใครคนนึง คุณสามารถเข้าไปเปลี่ยน Password iCloud ของคนๆนั้นโดยที่คุณไม่จำเป็นต้องรู้ Password iCloud ของเดิมเลย นั้นหมายความว่าคุณแทบไม่จำเป็นต้อง Hack iCloud Password แล้ว
เมื่อได้ iCloud ไปเป็นของตัวเองแล้ว โจรก็จะมี Access ทุกอย่างทั้งรูปภาพในเครื่อง เบอร์ใน Contact ข้อมูลต่างๆผ่านแอพที่ไม่ได้ตั้งรหัส หรือตั้งรหัสเดียวกับ Passcode
🗒️ Note : ใน Note อาจจะมีการเก็บข้อมูลสำคัญ เช่น เลขบัญชีธนาคาร ที่อยู่ บัตรประชาชน ข้อมูลส่วนตัวอื่นๆ และที่อาจจะเกิดขึ้นได้คือ Password การเช้าใช้งาน Service ต่างๆ
🗓️ Calendar : ตารางนัดหมาย สิ่งที่คุณต้องทำในแต่ละวัน อาจจะเป็นข้อมูลในการคาดเดาถึงน่าที่การงาน พฤติกรรม วันเกิดเพื่อนๆ วันสำคัญอื่นๆที่อาจจะเป็นข้อมูลเอาไปเดาหรือ Verify ตัวตนแทนคุณได้
🌇 Photo : ภาพส่วนตัว หรือภาพที่ไม่อยากให้ใครเห็น รูปถ่ายเอกสารสำคัญที่บ่งบอกถึงข้อมูลส่วนตัวคุณ ง่ายๆคือบัตรประชาชน ไม่ว่าจะของคุณเองหรือคนในครอบครัว ภาพกิจกรรมที่จะเอาไปคาดเดาและระบุตัวตนของคุณ
🏦 App ธนาคาร : กรณีนี้อาจจะยากสำรับเมืองไทย เพราะแอพธนาคารส่วนใหญ่ให้ใช้ Biometric สำหรับการการยืนยันตัวตนเพื่อเข้าใช้งานได้ เช่น Face ID หรือ Touch ID หรือไม่ก็ต้องกรอก Password 6 หลักที่แยกจาก Passcode สำหรับเช้าเครื่องต่างหาก
แต่ ผมพบว่าหลายๆคนใช้ Password ชุดเดียวกันเพื่อให้จำได้ง่าย ทำให้เมื่อรู้ Passcode ก็สามารถเข้าถึง App ธนาคารได้ทันที
เมื่อได้ iCloud ไปเป็นของตัวเองแล้ว โจรก็จะมี Access ทุกอย่างทั้งรูปภาพในเครื่อง เบอร์ใน Contact ข้อมูลต่างๆผ่านแอพที่ไม่ได้ตั้งรหัส หรือตั้งรหัสเดียวกับ Passcode
🗒️ Note : ใน Note อาจจะมีการเก็บข้อมูลสำคัญ เช่น เลขบัญชีธนาคาร ที่อยู่ บัตรประชาชน ข้อมูลส่วนตัวอื่นๆ และที่อาจจะเกิดขึ้นได้คือ Password การเช้าใช้งาน Service ต่างๆ
🗓️ Calendar : ตารางนัดหมาย สิ่งที่คุณต้องทำในแต่ละวัน อาจจะเป็นข้อมูลในการคาดเดาถึงน่าที่การงาน พฤติกรรม วันเกิดเพื่อนๆ วันสำคัญอื่นๆที่อาจจะเป็นข้อมูลเอาไปเดาหรือ Verify ตัวตนแทนคุณได้
🌇 Photo : ภาพส่วนตัว หรือภาพที่ไม่อยากให้ใครเห็น รูปถ่ายเอกสารสำคัญที่บ่งบอกถึงข้อมูลส่วนตัวคุณ ง่ายๆคือบัตรประชาชน ไม่ว่าจะของคุณเองหรือคนในครอบครัว ภาพกิจกรรมที่จะเอาไปคาดเดาและระบุตัวตนของคุณ
🏦 App ธนาคาร : กรณีนี้อาจจะยากสำรับเมืองไทย เพราะแอพธนาคารส่วนใหญ่ให้ใช้ Biometric สำหรับการการยืนยันตัวตนเพื่อเข้าใช้งานได้ เช่น Face ID หรือ Touch ID หรือไม่ก็ต้องกรอก Password 6 หลักที่แยกจาก Passcode สำหรับเช้าเครื่องต่างหาก
แต่ ผมพบว่าหลายๆคนใช้ Password ชุดเดียวกันเพื่อให้จำได้ง่าย ทำให้เมื่อรู้ Passcode ก็สามารถเข้าถึง App ธนาคารได้ทันที
ยิ่งไปกว่านั้นการปรับตั้ง Daily limit หรือมูลค่าการโอนเงินในแต่ละวัน สามารถทำได้ถ้ามี One-Time-Password หรือ OTP ที่ได้รับผ่านเบอร์โทรศัพท์ที่ลงทะเบียนไว้กับธนาคารมายืนยัน นั้นก็คือเกือบ 100% ของเหยื่อจะโดน เพราะว่าเค้ามีมือถือของคุณที่มีเบอร์ของคุณอยู่ในมือ
และยังมีอีกหลายๆ app ที่สำคัญเช่น Dropbox, Box, Slack, MS Team, Outlook, Google Photo, Google drive และอื่นๆ
นอกจากนั้นแล้ว การถูกเปลี่ยน iCloud Password แล้วจะเกิดอะไรได้บ้าง
แน่นอนผมคงไม่ต้องอธิบายมาก คือได้ทุกอย่างไปเลย อย่างที่ผมบอกผู้หญิงคนนั้นเค้าสูญเสียรูปใน iCloud Photo ความเป็นเจ้าของโทรศัพท์ หรือ Device เครื่องนั้นๆ รวมถึงเครื่องอื่นที่คุณเป็นเจ้าของด้วย เค้าอาจจะไป Set ให้เครื่องอื่นๆให้อยู่สถานะถูกขโมย หรือเรียกค่าไถ่แลกกับการไม่ลบข้อมูลในเครื่องนั้นๆรูป และ Password ที่เก็บไว้ใน iCloud ก็จะตกเป็นของเค้า คุณจะสูญเสียสิ่งเหล่านั้นไปตลอดการ
ที่เล่ามาทั้งหมดก็เป็นการสะท้อนถึงตัวเองด้วย เพราะเรามีแนวโน้มที่ปลด Lock Passcode โดยที่ไม่ระวัง โดยเฉพาะช่วงที่เรายังคงต้องใส่หน้ากากอนามัย บางทีเราอาจจะไม่อยากถอดเพื่อใช้ Face ID และคิดว่าคงไม่มีใครตั้งใจมอง แต่คุณอาจกำลังเป็นเหยื่อโดยไม่รู้ตัว
วิธีป้องกัน
ผมเองไม่ใช่ Expert ด้าน Security แต่สิ่งที่พอจะนึกได้ก็มีดังต่อไปนี้- เปลียน Passcode ให้มีความปลอดภัยมากขึ้น เช่น ใช้ แทน 4 หลัก, เลขที่ใช้ต้องไม่เป็น Pattern หรือคาดเดาง่ายหรือแม้กระทั้งเกี่ยวกับชีวิตของคุณเช่นวันเกิด เบอร์โทร เลขที่บ้าน
- เปลี่ยน Passcode ให้บ่อยขึ้น ถามว่าบ่อยแค่ไหนอาจจะดูความเสี่ยงว่าคุณอยู่นอกบ้านบ่อยแค่ไหน ไปที่ซ้ำๆแค่ไหน ถ้าคิดว่าเผลอกดแล้วมีคนอาจจะมองและถ้าโทรศัพท์ยังไม่ถูกขโมยอาจจะรีบหาที่ลับๆ มาเปลี่ยนก็ได้
- อย่าใช้ Passcode ร่วมกัน ไม่ว่าจะเป็น Apple Device อื่นๆ เช่น iPad, Watch หรือแม้กระทั้งแอพที่มีความเสียง เช่น ธนาคาร รหัสจ่ายเงินของApp Shopping
นอกจากนี้ยังมีเรื่องการลดความเสียงอื่นๆได้อีก ให้จินตนาการว่าโจรได้โทรศัพท์เราไปแล้วรู้ Password เราไป เราจะจำกัดความเสียงหรือรับความสูญเสียได้แค่ไหน เช่น เงินในแอพธนาคาร รูป เอกสารสำคัญ จากนั้นก็หาทาง Limit หรือทำให้มันยากเข้าไว้ เช่นตั้งรหัสที่ไม่เหมือนกันป้องกันการเข้าถึง
การตั้ง Daily transfer limit.
ของธนาคารอาจจะใช้กับเหตุการณ์นี้ไม่ได้ เพราะว่าเค้ามีเบอร์เราไปด้วยเข้าสามารถปลดล๊อคตัวนี้ ถ้าเป็นไปได้ก็รีบโทรไประงับสัญญาณทันที แต่ผมไม่แน่ใจว่าโจรสามารถโทรธนาคาร แล้วไปขอปลดล๊อคจากข้อมูลส่วนตัวที่อาจจะพบเจอในเครื่องเราได้ไหมรูปด้านล่างเป็น Response จาก Apple ถึง Wall street Journal จะเห็นได้ว่า Apple ไม่ได้แคร์ถึงเหตุการณ์รูปแบบนี้นัก ผมจึงเอาเรื่องท้ังหมดนี้มาเตือนกัน เทคโนโลยีมีความเสียง ถ้าจะใช้อาจจะต้องวางแผนรับมือความเสี่ยงเหล่านี้ไว้ ขอให้ทุกคนโชคดีครับ
 |
| Apple Spoke-person to WSJ |
Tags:
Technology