พาดูหลังบ้านแอปดูดเงิน และการสูญพันธ์ของแอปดูดเงิน

เมื่อสัปดาห์ที่แล้วทาง MAYASEVEN ได้ live บน youtube ในหัวข้อ ” ลองเป็นเหยื่อแอปดูดเงิน โจรเอาเงินออกจากแอปธนาคารยังไง? ” พร้อมโชว์หลังบ้านของโจรที่เราสร้างเลียนแบบขึ้นมา ในขณะเดียวกันทางธนาคารแห่งประเทศไทย ก็ได้ออกแนวปฏิบัติในการปรับปรุงแอปธนาคารให้สามารถป้องกันแอปดูดเงินได้ออกมา เราจะเห็นว่าแอปธนาคารเริ่มไม่ยอมให้ทำรายการ ถ้าเราอยู่ใน environment ที่ไม่ปลอดภัย เช่น ในเครื่องเรามีแอปนอก Google Play Store ที่ใช้สิทธิ์ accessibility หรือมีแอปสำหรับ remote control หรือมีการเรียกใช้ Android API ที่ sensitive เป็นต้น ตามรูป

ขอบคุณรูปจาก : https://twitter.com/Eaaaw/status/1619902827220058112

 

ทีมเราได้ทำการวิเคราะห์วิธีแก้ปัญหานี้แล้วพบว่า ถ้าทางแอปธนาคาร implement security control ตามแนวปฏิบัติของธนาคารแห่งประเทศไทยได้อย่างถูกต้อง แอปดูดเงินจะสูญพันธ์ทันที  เพราะเรายังไม่พบวิธีที่จะ bypass วิธีป้องกันนี้ได้เลย อย่างน้อยก็ ณ วันนี้ แต่คำว่า security ไม่มีอะไร 100% เราต้องมาคอยติดตามดูกันว่าโจรจะมีวิธีใหม่ๆมา bypass ได้หรือไม่ สำหรับธนาคารที่ต้องการทำ security testing ว่าแอปของธนาคาร implement security control ป้องกันแอปดูดเงินได้อย่างถูกต้องหรือไม่ สามารถส่ง app มาให้ทาง MAYASEVEN ทดสอบให้ฟรี เพื่อช่วยกันลดเหยื่อที่จะเกิดขึ้นในอนาคต

สำหรับใครที่ยังไม่ได้ดู live อยากดูวิเคราะห์แอปดูดเงินเชิงลึก พร้อมหลังบ้านโจร พร้อมวิธีที่โจรหลอกล่อเอาเงินจากเหยื่อ สามารถดูได้ใน live ด้านล่างครับ

 

เรื่องก่อนหน้า
ภัยร้ายที่มาพร้อมกับ Airdrop ในโลก DeFi
เรื่องถัดไป
สรุป Keynote จาก Black Hat Asia 2023

Related Posts

ไม่พบผลลัพท์

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *

Fill out this field
Fill out this field
โปรดใส่ที่อยู่อีเมลที่ใช้งานได้
You need to agree with the terms to proceed