WhatsApp insecurity part 2
Incognito Lab
ความปลอดภัยของ Whatsapp ตอนที่ 2
หลังจากตอนแรกเราได้พูดกันถึง Concept ของ Data Leakage ไปแล้ว 2 ใน 3 ช่องทาง ในตอนนี้เราจะพูดถึงช่องทางที่ 3 กันซึ่งได้แก่ Data at rest หรือข้อมูลที่ถูกเก็บไว้ที่ Server นั่นเอง
จากตัวอย่างเรื่อง Whatsapp การส่งรูปหากันใน Whatsapp จะมีการ upload รูปที่ต้องการส่งขึ้นไปไว้ที่ Server ของ Whatsapp ซึ่งรูปต่างๆใน Server นั้นเพียงแค่ทราบ URL ก็จะสามารถเข้าถึงได้ทันที ไม่มีการทำ Authentication ใดๆทั้งสิ้น แล้วทีนี้ความปลอดภัยอยู่ที่ไหนล่ะเนี่ย
ด้านล่างเป็นตัวอย่างรูปที่ทดลองส่งผ่าน Whatsapp ก็จะพบว่าใน file Database ของ Whatsapp จะมี URL เก็บไว้ทั้งหมด
ลองเข้าตาม URL ก็จะพบรูปที่ส่งหากันได้ทันที https://mms302.whatsapp.net/d7/25/11/7/0/7001274b04452bd0bb68eb7730ddf4ad.jpg
เดี๋ยวนี้มีการใช้งาน Instant Messenger กันอย่างแพร่หลาย เราก็ควรจะตระหนักถึงความสำคัญของข้อมูลของเราด้วยนะครับ
เอาล่ะ ครั้งนี้เป็นการยกตัวอย่างเรื่อง Data Leakage ที่ใกล้ตัว ครบทั้ง 3 แบบแล้ว ซึ่งก็มีหลายอย่างที่ทาง Whatsapp เองควรจะปรับปรุง เช่น
- ประกาศนโยบายให้ Data ที่อยู่บน Whatsapp นั้นมีการเก็บนานไว้นานแค่ไหน
- Process ในการ review, delete data ทำอย่างไร
- การป้องกันในระดับ web application ที่ควรจะมีการทำ Authentication, Authorization ในการเข้าถึงข้อมูลส่วนตัวของผู้ใช้งานได้
จบเรื่องตัวอย่าง DLP กับ Whatsapp แล้วคราวหน้าเรามาดูกันต่อว่า Security รอบๆตัวเรามีอะไรที่น่าสนใจบ้าง
Up Next
ARTICLES
Feb
25
2021
Incognito Mode EP1
สำหรับใน EP 1 นี้ได้คุณพรสุข มาบรรยายในหัวข้อ Thailand's Cyber
READ MORE
ARTICLES
Jan
27
2021
Difference between Single-stage Ransomware and Multi-stage Ransomware
องค์กรที่มีแผนรับมือ(Incident Response) กรณีการโจมตีของ Ransomware Attack ต้องเริ่มมาทบทวนแผนกันใหม่นะครับเนื่องจากรูปแบบการโจมตีของ attackers มีชั้นเชิงที่จะบีบบริษัทหรือองค์กรที่ตกเป็นเหยื่อมากยิ่งขึ้น
READ MORE
ARTICLES
Jan
27
2021
VA/Pentest Service FAQs
บทความนี้อยากทำให้ผู้อ่านได้เข้าใจถึง VA/Pentest Service ซึ่งเป็น Service หลักของ Incognito Lab
READ MORE
