พาดูหลังบ้านแอปดูดเงิน และการสูญพันธ์ของแอปดูดเงิน

เมื่อสัปดาห์ที่แล้วทาง MAYASEVEN ได้ live บน youtube ในหัวข้อ ” ลองเป็นเหยื่อแอปดูดเงิน โจรเอาเงินออกจากแอปธนาคารยังไง? ” พร้อมโชว์หลังบ้านของโจรที่เราสร้างเลียนแบบขึ้นมา ในขณะเดียวกันทางธนาคารแห่งประเทศไทย ก็ได้ออกแนวปฏิบัติในการปรับปรุงแอปธนาคารให้สามารถป้องกันแอปดูดเงินได้ออกมา เราจะเห็นว่าแอปธนาคารเริ่มไม่ยอมให้ทำรายการ ถ้าเราอยู่ใน environment ที่ไม่ปลอดภัย เช่น ในเครื่องเรามีแอปนอก Google Play Store ที่ใช้สิทธิ์ accessibility หรือมีแอปสำหรับ remote control หรือมีการเรียกใช้ Android API ที่ sensitive เป็นต้น ตามรูป

ขอบคุณรูปจาก : https://twitter.com/Eaaaw/status/1619902827220058112

 

ทีมเราได้ทำการวิเคราะห์วิธีแก้ปัญหานี้แล้วพบว่า ถ้าทางแอปธนาคาร implement security control ตามแนวปฏิบัติของธนาคารแห่งประเทศไทยได้อย่างถูกต้อง แอปดูดเงินจะสูญพันธ์ทันที  เพราะเรายังไม่พบวิธีที่จะ bypass วิธีป้องกันนี้ได้เลย อย่างน้อยก็ ณ วันนี้ แต่คำว่า security ไม่มีอะไร 100% เราต้องมาคอยติดตามดูกันว่าโจรจะมีวิธีใหม่ๆมา bypass ได้หรือไม่ สำหรับธนาคารที่ต้องการทำ security testing ว่าแอปของธนาคาร implement security control ป้องกันแอปดูดเงินได้อย่างถูกต้องหรือไม่ สามารถส่ง app มาให้ทาง MAYASEVEN ทดสอบให้ฟรี เพื่อช่วยกันลดเหยื่อที่จะเกิดขึ้นในอนาคต

สำหรับใครที่ยังไม่ได้ดู live อยากดูวิเคราะห์แอปดูดเงินเชิงลึก พร้อมหลังบ้านโจร พร้อมวิธีที่โจรหลอกล่อเอาเงินจากเหยื่อ สามารถดูได้ใน live ด้านล่างครับ

 

Previous Post
ภัยร้ายที่มาพร้อมกับ Airdrop ในโลก DeFi
Next Post
สรุป Keynote จาก Black Hat Asia 2023

Related Posts

No results found.

Leave a Reply

Your email address will not be published. Required fields are marked *

Fill out this field
Fill out this field
Please enter a valid email address.
You need to agree with the terms to proceed