ปัจจุบัน Android เป็นระบบปฏิบัติการบนมือถือที่ได้รับความนิยมมากที่สุดในโลก ในปี 2014 มีการจัดส่งอุปกรณ์ 1 พันล้านเครื่อง (มากกว่า Apple อันดับ 2 ถึง 800 ล้านเครื่อง) และครองตลาด 82 เปอร์เซ็นต์
นั่นเป็นข่าวดีสำหรับ Google แต่ก็หมายความว่าจะเกิดหายนะเมื่อพบข้อบกพร่องและข้อบกพร่อง ปัญหาต่างๆ อาจส่งผลกระทบอย่างมากต่อประชากรโลกเป็นเปอร์เซ็นต์
น่าเสียดาย นักวิจัยจากมหาวิทยาลัยเท็กซัสพบข้อบกพร่องด้านความปลอดภัยใหม่ของ Android เมื่อต้นสัปดาห์นี้
เรามาดูกันว่ามันคืออะไรและคุณสามารถทำอะไรกับมันได้บ้าง
มีปัญหาอะไร
โทรศัพท์ Android ที่ทันสมัยมีสามวิธีในการรักษาความปลอดภัยหน้าจอล็อก รหัส PIN รูปแบบ หรือรหัสผ่าน ข้อบกพร่องใหม่นี้เกี่ยวข้องกับผู้ใช้ที่เลือกใช้รหัสผ่าน
นักวิจัยอธิบายช่องโหว่ในโพสต์บนเว็บไซต์ของมหาวิทยาลัยว่า "การจัดการกับสตริงที่มีขนาดใหญ่เพียงพอในช่องรหัสผ่านเมื่อแอปกล้องทำงาน ผู้โจมตีสามารถทำให้หน้าจอล็อกไม่เสถียร ทำให้เกิดความผิดพลาด ไปที่หน้าจอหลัก ".
ในทางปฏิบัติ นั่นหมายถึงแฮ็กเกอร์ที่อาจเป็นแฮ็กเกอร์สามารถเข้าถึงโทรศัพท์ของคุณ รายชื่อติดต่อ ข้อมูลแอปส่วนตัว พื้นที่เก็บข้อมูลบนคลาวด์ และข้อมูลส่วนตัวอื่นๆ ได้อีกมากมาย โดยไม่จำเป็นต้องทำเทคนิคแบ็คเอนด์ที่ชาญฉลาด แม้แต่คนที่เชี่ยวชาญด้านเทคโนโลยีธรรมดาๆ ที่พบโทรศัพท์หายบนถนนก็สามารถบุกเข้ามาได้
การแฮ็กทำงานโดยป้อนชุดอักขระแบบสุ่มลงในแป้นกดหมายเลข "Emergency Call" ของโทรศัพท์ จากนั้นจึงกดปุ่ม "ถ่ายภาพ" ของกล้องซ้ำๆ จะทำให้หน้าจอล็อกล้มเหลว โดยที่โทรศัพท์จะรีบูตตัวเองเป็นหน้าจอหลักของผู้ใช้ในที่สุด
เมื่อไปถึงที่นั่น แฮ็กเกอร์จะสามารถเข้าถึงอุปกรณ์ได้อย่างเต็มที่ ไม่ว่าระบบไฟล์จะได้รับการเข้ารหัสหรือไม่ก็ตาม ซึ่งหมายความว่าพวกเขาสามารถเปิดการเข้าถึงอุปกรณ์ของนักพัฒนาซอฟต์แวร์ได้
คุณสามารถดูการแฮ็กที่แสดงในวิดีโอด้านล่าง:
คุณเสี่ยงไหม
โชคดีที่ไม่มีข้อบกพร่องใน Android ทุกเวอร์ชัน คุณจะได้รับผลกระทบก็ต่อเมื่อคุณมีอุปกรณ์ Android Lollipop ที่ใช้เวอร์ชัน 5.0 ถึง 5.1.1
ดังที่กล่าวไว้ แฮ็คจะทำงานก็ต่อเมื่อคุณใช้การป้องกันด้วยรหัสผ่านเท่านั้น ผู้ที่ใช้หมายเลข PIN หรือรูปแบบจะปลอดภัย
แม้ว่าเกณฑ์ทั้งสองนี้จะจำกัดจำนวนผู้ที่ได้รับผลกระทบอย่างไม่ต้องสงสัย ผลข้างเคียงก็คือ เกณฑ์ดังกล่าวอาจกำหนดเป้าหมายไปยังผู้ใช้ที่คำนึงถึงความปลอดภัยมากที่สุด ซึ่งก็คือผู้ที่เชื่อว่ารหัสผ่านที่ยาวจะมีความปลอดภัยมากกว่า PIN หรือรูปแบบ ภายใต้สถานการณ์ปกตินั้นถูกต้อง แต่ช่องโหว่นี้พิสูจน์ให้เห็นว่าไม่มีสิ่งใดปลอดภัยเท่าที่คุณคิด
คุณทำอะไรได้บ้าง
สิ่งสำคัญที่สุดคือการปกป้องหน้าจอล็อกโดยเร็วที่สุด
ช่องโหว่ได้รับการแก้ไขใน LMY48M Android 5.1.1 บิวด์ซึ่งเผยแพร่โดย Google เมื่อสัปดาห์ที่แล้ว ขณะนี้ใช้ได้เฉพาะกับ Nexus 4, 5, 6, 7, 9 และ 10
แม้ว่าจะมีให้ใช้งาน แต่ผู้ใช้หลายคนรายงานว่ายังไม่ได้รับการอัปเดตแบบ over-the-air หากเป็นเช่นนั้น คุณสามารถไปที่ googlesource.com และดาวน์โหลดบิลด์ใหม่ได้ด้วยตนเอง
หากคุณไม่ได้เป็นเจ้าของ Nexus หรือคุณยังไม่ได้รับการอัปเดตแบบ over-the-air อย่างน้อย คุณควรเปลี่ยนข้อมูลรับรองการเข้าสู่ระบบหน้าจอล็อกเป็นหมายเลข PIN แทน
เหตุใดคุณจึงควรเลือก PIN แทนรูปแบบ
รูปแบบการล็อก Android (ALP) มีมาตั้งแต่ปี 2008 และมีผู้ใช้จำนวนมาก แต่นักวิจัยได้แนะนำเมื่อเร็ว ๆ นี้ว่าพวกเขาไม่ปลอดภัยไปกว่ารหัสผ่านที่ชัดเจนเกินไปเช่น "รหัสผ่าน", "12345678" และ " qwertyuiop".
นักวิจัยที่เป็นปัญหาคือ Marte Løge บัณฑิตปี 2015 จากมหาวิทยาลัยวิทยาศาสตร์และเทคโนโลยีแห่งนอร์เวย์ เธอค้นพบว่า ALP ที่ส่ายไปมา 44 เปอร์เซ็นต์เริ่มต้นที่มุมซ้ายบน และแมมมอธ 77 เปอร์เซ็นต์เริ่มต้นที่หนึ่งในสี่มุม
นอกจากนี้ เธอยังพบว่า ALP ส่วนใหญ่มี "โหนด" เพียง 5 โหนด แม้ว่าผู้ใช้จะได้รับอนุญาตให้เลือกได้ถึงเก้าโหนด ซึ่งหมายความว่าจำนวนชุดค่าผสมที่เป็นไปได้ลดลงจาก 389,112 เหลือเพียง 7,152 หาก ALP มีโหนดเพียง 4 โหนด โหนดนี้จะลดลงไปอีกเหลือเพียง 1,624
"มนุษย์เป็นสิ่งที่คาดเดาได้" เธอกล่าว "เราเห็นลักษณะเดียวกันที่ใช้ในการสร้างการล็อกรูปแบบเหมือนกับที่ใช้ในรหัส PIN และรหัสผ่านที่เป็นตัวอักษรและตัวเลข"
หากคุณยืนยันที่จะใช้ ALP คุณต้องแน่ใจว่ารูปแบบของคุณซับซ้อน และคุณควรหลีกเลี่ยงการสร้างชื่อย่อของคนที่คุณรักหรือสัตว์เลี้ยง การวิจัยของเธออ้างว่าโดยใช้ชื่อย่อดังกล่าว ผู้โจมตีจะมีโอกาส 1 ใน 10 ที่จะคาดเดา ALP ภายใน 100 การเดา
ตรวจสอบ ALP ทั่วไปบางส่วนในภาพด้านล่าง หากคุณใช้ ALP เหล่านี้ คุณควรเปลี่ยนทันที
เลือก PIN ที่สมเหตุสมผล
หมายความว่าวิธีที่ปลอดภัยที่สุดในการรักษาความปลอดภัยให้กับอุปกรณ์ Android ของคุณคือการใช้รหัส PIN แต่ยังมีหลักเกณฑ์ด้านความปลอดภัยขั้นพื้นฐานบางประการที่คุณควรปฏิบัติตาม
ตัวอย่างเช่น ตรวจสอบให้แน่ใจว่าคุณใช้รหัสอื่นกับรหัสที่คุณใช้สำหรับบัตรธนาคารหรือการเข้าสู่ระบบอื่นๆ ที่ต้องใช้ PIN ในลักษณะเดียวกับที่การใช้รหัสผ่านเดียวกันสำหรับบัญชีออนไลน์ทั้งหมดของคุณจะเพิ่มความเสี่ยง การใช้ PIN เดียวกันหลายครั้งจะลดประสิทธิภาพของระบบในการทำซ้ำแต่ละครั้ง นอกจากนี้ ให้หลีกเลี่ยงวันครบรอบ วันเกิด และตัวเลขซ้ำๆ
Microsoft ยังอยู่บนกระดานด้วยแนวคิดนี้ พวกเขาเพิ่งแนะนำว่าผู้ใช้ Windows 10 ควรใช้รหัส PIN เพื่อเข้าสู่ระบบเครื่องของตน โลโก้ของพวกเขาคือแม้ว่ารหัสผ่านที่ถอดรหัสจะทำให้แฮ็กเกอร์เข้าถึงบัญชี Microsoft ทั้งหมดของคุณได้ แต่ PIN ที่ถอดรหัสจะทำให้พวกเขาใช้อุปกรณ์ทั้งหมดนั้นได้เท่านั้น
คุณเคยป้องกันตัวเองหรือยัง
คุณเป็นหนึ่งในผู้ใช้ที่มีช่องโหว่หรือไม่? คุณได้ดำเนินการขั้นตอนใดบ้างในการป้องกันตัวเอง
การละเมิดนี้ทำให้คุณกังวลเกี่ยวกับความปลอดภัยของ Android หรือไม่ มีการละเมิดอะไรอีกบ้าง? เนื่องจากมีการกระจายตัวของระบบปฏิบัติการ ย่อมมีผู้อื่นรอการค้นพบอยู่อย่างแน่นอน
บางทีคุณอาจพบวิธีการอนุญาตที่แปลกใหม่หรือไม่เหมือนใคร
เช่นเคย เราชอบที่จะได้ยินจากคุณ คุณสามารถแจ้งให้เราทราบความคิดเห็นและความคิดเห็นของคุณในความคิดเห็นด้านล่าง
