เมื่อสัปดาห์ที่แล้วทาง MAYASEVEN ได้ live บน youtube ในหัวข้อ ” ลองเป็นเหยื่อแอปดูดเงิน โจรเอาเงินออกจากแอปธนาคารยังไง? ” พร้อมโชว์หลังบ้านของโจรที่เราสร้างเลียนแบบขึ้นมา ในขณะเดียวกันทางธนาคารแห่งประเทศไทย ก็ได้ออกแนวปฏิบัติในการปรับปรุงแอปธนาคารให้สามารถป้องกันแอปดูดเงินได้ออกมา เราจะเห็นว่าแอปธนาคารเริ่มไม่ยอมให้ทำรายการ ถ้าเราอยู่ใน environment ที่ไม่ปลอดภัย เช่น ในเครื่องเรามีแอปนอก Google Play Store ที่ใช้สิทธิ์ accessibility หรือมีแอปสำหรับ remote control หรือมีการเรียกใช้ Android API ที่ sensitive เป็นต้น ตามรูป
ทีมเราได้ทำการวิเคราะห์วิธีแก้ปัญหานี้แล้วพบว่า ถ้าทางแอปธนาคาร implement security control ตามแนวปฏิบัติของธนาคารแห่งประเทศไทยได้อย่างถูกต้อง แอปดูดเงินจะสูญพันธ์ทันที เพราะเรายังไม่พบวิธีที่จะ bypass วิธีป้องกันนี้ได้เลย อย่างน้อยก็ ณ วันนี้ แต่คำว่า security ไม่มีอะไร 100% เราต้องมาคอยติดตามดูกันว่าโจรจะมีวิธีใหม่ๆมา bypass ได้หรือไม่ สำหรับธนาคารที่ต้องการทำ security testing ว่าแอปของธนาคาร implement security control ป้องกันแอปดูดเงินได้อย่างถูกต้องหรือไม่ สามารถส่ง app มาให้ทาง MAYASEVEN ทดสอบให้ฟรี เพื่อช่วยกันลดเหยื่อที่จะเกิดขึ้นในอนาคต
สำหรับใครที่ยังไม่ได้ดู live อยากดูวิเคราะห์แอปดูดเงินเชิงลึก พร้อมหลังบ้านโจร พร้อมวิธีที่โจรหลอกล่อเอาเงินจากเหยื่อ สามารถดูได้ใน live ด้านล่างครับ
