LastPass โปรแกรมจัดการรหัสผ่าน ประกาศเตือนลูกค้าว่าตอนนี้พบแอปปลอมที่สร้างมาเลียนแบบ LastPass พบ App Store ของแอปเปิล โดยแอปนี้ชื่อว่า Las sPass Password Manager ระบุว่า Parvati Patel เป็นผู้พัฒนาแอป ซึ่งทั้งโลโก้และหน้าตาแอปก็ทำให้ผู้ใช้สับสนว่าเป็น LastPass
LastPass บอกว่าตอนนี้กำลังดำเนินงานกับผู้เกี่ยวข้อง เพื่อให้แอปนี้ถูกถอดออกจาก App Store ซึ่งล่าสุดแอปก็ถูกนำออกไปเรียบร้อยแล้ว
Christofer Hoff หัวหน้าฝ่ายความปลอดภัยของ LastPass ให้ข้อมูลเพิ่มเติมว่า ตอนนี้บริษัทได้สอบถามแอปเปิล เพื่อทำความเข้าใจกระบวนการตรวจสอบแอป ว่าทำไมแอปปลอมที่ลอกเลียนแอปอื่นที่มีอยู่แล้ว โดยอาศัยการบิดตัวสะกดเล็กน้อย จึงสามารถผ่านกระบวนการตรวจสอบและนำขึ้น App Store ได้
เรื่องนี้อาจจะเป็นจังหวะเวลาที่ลงตัวไปหน่อย เพราะก่อนหน้านี้แอปเปิลได้ประกาศแนวทางของ iOS 17.4 สำหรับประเทศในกลุ่ม EU ที่สามารถสร้างสโตร์สำหรับดาวน์โหลดแอปแยกได้ แต่แอปเหล่านั้นก็ต้องถูกตรวจสอบจากแอปเปิลก่อนเช่นกัน รวมทั้งแอปเปิลก็บอกว่าที่ไม่เปิดฟีเจอร์นี้ในประเทศอื่นด้วย เป็น เหตุผลด้านความปลอดภัย และลดความเสี่ยงในการใช้งาน
ที่มา: LastPass ผ่าน TechCrunch
หน้าตาแอปปลอม LassPass
หน้าของแอปจริง LastPass
Comments
ตราบใดที่ App Store ใช้คนตรวจสอบยังไงก็โดนหลอกได้แหละ
ซึ่งหากเทียบเคียงเคสน่าจะแนวเรื่อง Greenbar บน browser ของ Certificate ที่ ที่เป็น EV นั่นแหละ
เพราะสุดท้ายโดนปลอมเอกสาร หรือตั้งบริษัทให้มีชื่อคล้ายกับบริษัทเป้าหมาย แล้วก็โดนสร้าง EV Certificate ไปใช้หลอกคนต่อไป
หรือว่าทางออกจะเป็นแบบเว็บ ที่พอไม่ปลอดภัยก็จะมีแถบแดงขึ้นพร้อมแม่กุญแจที่ไม่ได้ล็อค แต่เปลี่ยนจากดู protocol HTTP เป็น Apple/Google ไม่ได้ตรวจสอบแทน
จริงๆ แค่เริ่มจาก Untrusted by default ก่อน
ขนาดเจ้าของผลิตภัณฑ์ระบบรักษาความปลอดภัยจะมีโอกาสโดนแฮกได้ นับประสาอะไรกับคนทั่วไป ต้องระวังทุกอย่างเท่าที่ทำได้
ผมว่าต่อให้ใช้ bot หรือ ai ตรวจ ก็ไม่น่ารอดอยู่ดีครับ เห็นชัดๆ ก็ google play store คนมันก็หาสูตรเลี่ยงได้อยู่ดีกลับกัน ผมว่า app store นี่โอกาสผ่านง่ายๆ นี่ยังน้อยนะครับ ส่วนใหญ่ ถ้าเป็ยแอพแนวๆ สุ่มเสี่ยงนี่โดนตรวจสอบถี่ยิบ ล่าสุดผมยังโดนขอดูเอกสาร license ทุกประเทศที่เราติ๊กถูกอยู่เลย
ในบริบทที่คุณ Ford หมายถึงมันง่ายกว่านั้น เพราะปัญหาจริง ๆ คือความน่าเชื่อถือ แทนที่จะใช้คนหรือ bot/AI ตรวจสอบเป็นรายหัวไปซึ่งโอกาสหลุดสูง เราควรออกแบบระบบให้น่าเชื่อถือตั้งแต่แรก
ทางเลือกแอปเดียวกันสมัยนี้เยอะมาก และแอปต้นข่าวเองก็เป็นแอปเลียนแบบแต่ยังไม่ได้พิสูจน์ว่าเป็นแอปปลอมหรือมีจุดประสงค์ร้ายหรือไม่ แต่เจตนาชัดเจนคือต้องการให้คนเข้าใจผิดว่าเป็น LastPass ที่ผมสงสัยคือตอนที่ค้นหาออกมานี่ใช้วิธีการไหน แล้วผลลัพธ์ออกมาอย่างไร ถ้าค้นหา LastPass แล้วติด LassPass มาด้วยนี่ผมว่าเป็นปัญหาของระบบสโตร์แล้ว
ผมเชื่อว่าความน่าเชื่อถือเป็นปัจจัยสำคัญ เพราะต่อให้แอปปลอมหลุดแต่ระบบสามารถจัดการมันเองได้โดยไม่โดน search optimisation exploit แอปปลอมจะเป็นปัญหาน้อยลงมาก ซึ่ง Play Store เจอปัญหานี้เยอะกว่ามาก ๆ
ในมุมของผมคือไม่ว่าจะเป็น App Store ของ Apple หรือ Play Store ของ Google การสร้างระบบตรวจสอบไม่ว่าจะใช้คนตรวจสอบ หรือ ai/bot ตรวจสอบ ก็ต้องสร้างความตระหนักรู้ "ระบุข้อควรทราบให้กับลูกค้าว่ามันมีโอกาสหลุดและผิดพลาดได้เสมอ ฉะนั้นอย่าไปยึดมั่นถือมั่นกับระบบตรวจสอบมากจนวางใจว่ามันดีที่สุด"
ฉะนั้นการเที่ยวโฆษณาว่าให้เชื่อ App Store แล้วมันจะปลอดภัย มันจึงเป็นการสร้างความเชื่อผิด ๆ ต่อกลุ่มลูกค้าตัวเอง (เหมือนตอนใช้ Mac OS แล้วไม่มีไวรัส) เพราะสุดท้ายเมื่อกลุ่มลูกค้าที่อยู่ใน platform ตัวเองมีมูลค่าสูงพอที่จะลงทุนหลอกระบบเพื่อมุ่งหมายความเสียหายที่คุ้มค่า มันจะแก้ไขความเชื่อผิด ๆ ตรงนั้นไม่ทันแล้วลูกค้าจะเปราะบางต่อการโจมตีมากกว่าไปสร้างความเชื่อว่า อย่าหลงเชื่อใคร แม้แต่ผู้ผลิตเอง
+1
ผมลืมไปอีกจุดคือ เมื่อเกิดเหตุหลุดแบบข้างต้นแล้ว จะทำยังไงกับมัน ระยะเวลาในการนำออกจากระบบ และแจ้งเตือนคนที่โหลดแอปเหล่านี้อย่างไรว่าตัวเองได้โหลดแอปที่สุ่มเสี่ยงซึ่งหลุดระบบการตรวจสอบไปใช้งาน
อันนี้ผมพูดรวมทุก Store เลยไม่ใช่แค่ App Store ของ Apple เพราะฝั่ง Play Store หนักกว่ามาก แต่ทุกคนเข้าใจตรงกันว่าฝั่ง Google ก็หล่ะหลวมกว่าเช่นกัน คนใช้งานฝั่ง Android เลยระวังตัวอยู่บ้าง
ถ้ามุมนี้เห็นด้วยครับ
คือไม่ว่าเราจะวางมาตรการมากมายขนาดไหน ไม่ว่าจะมี maker/checker หลายๆ คน หรือ bot ai ขั้นเทพแค่ไหน มันก็ทำได้แค่ “ลด” โอกาสเกิดความผิดพลาด
S/W มันมีบั๊กได้ ระบบตรวจสอบ มันมีช่องโหว่ได้ สิ่งที่สำคัญไม่แพ้กัน คือมาตรการเมื่อเกิดปัญหาไปแล้ว
ปัญหาคือในองค์กรต่างๆ (รวมถึงบ้านเรา) มักจะพยายาม “ทำให้มันไม่มีปัญหา” ซึ่งมันเป็นใปไม่ได้
การจะทำให้ “ปัญหาน้อยที่สุด” ก็จะ trade off เรื่องระยะเวลา แถมก็ไม่ได้การันตีว่าจะไม่มีปัญหา (เช่น apple store)
แต่การ “ทำให้เร็วที่สุด” แบบ google play store ก็เป็นการ trade off ในอีกทางนึง
จุดที่ดีคือหาสมดุลย์ตรงกลาง และวางมาตรการแก้ไขไว้ น่าจะดีกว่า
และควรเลิกอ้างความปลอดภัยได้แล้ว ให้คนทั่วไปตระหนักรู้ว่า พวกเอ็งก็ควรระวังตัวบ้าง
+1