เตือนภัย!! ผู้ใช้ Android ระวังช่องโหว่ USSD

ก่อนหน้านี้ได้มีข่าวเกี่ยวกับช่องโหว่ของโทรศัพท์ระบบปฏิบัติการ Android ที่อนุญาตให้ผู้ไม่หวังดีสามารถสั่งรีเซ็ตหรือลบข้อมูลออกไปจากเครื่องโทรศัพท์ของเหยื่อได้ทันทีผ่านโค๊ดคำสั่ง USSD ที่แฝงมากับเว็บไซต์  ซึ่งภายหลังจากที่ข่าวนี้เผยแพร่ออกไป ผมเชื่อว่าคงมีพวกอยากลองดีหลายตัว(เห้ย หลายท่าน) ฉวยโอกาสใช้ช่องโหว่นี้ กระทำการไม่ดีกับผู้ใช้โทรศัพท์ระบบปฏิบัติการ Android ที่ยังไม่ทราบข่าวนี้ เป็นแน่ ดังนั้นบทความนี้ผมจึงเขียนขึ้นมาเพื่อบอกต่อถึงภัยอันตราย พร้อมวิธีแก้ไขเบื้องต้น สำหรับช่องโหว่ดังกล่าวนี้

คำเตือน : ถ้าคุณจะนำวิธีการในบทความนี้ไปใช้สำหรับการแฮกหรือทำลายระบบคอมพิวเตอร์อย่างมีเจตนาร้ายและผิดกฏหมาย คุณต้องเป็นผู้รับผิดชอบสิ่งที่จะเกิดขึ้น ในฐานะผู้เขียนและบุคคลที่เกี่ยวข้องกับบทความนี้ จะไม่มีส่วนร่วมรับผิดชอบในการกระทำหรืออาชญากรรมที่คุณได้ก่อขึ้นโดยใช้วิธีและเครื่องมือที่ได้เขียนไว้ในบทความ เพราะบทความนี้มีเจตนาเพียงประการเดียวสำหรับผู้ที่สนใจในด้านความปลอดภัยของระบบ ที่ประสงค์จะป้องกันระบบเพื่อไม่ให้ตกเป็นเหยื่อของผู้ไม่หวังดีซึ่งทุกวันนี้มีจำนวนเพิ่มมากขึ้น เท่านั้น

หากจะจับขโมยให้ได้ ต้องคิดให้เหมือนขโมย แต่อย่าทำในสิ่งที่ขโมยจะทำ เพราะนั้น คือ ความผิด

ก่อนจะไปถึงรายละเอียดของเนื้อหา ขอกล่าวถึง USSD ให้ทราบในเบื้องต้นก่อนแล้วกัน

USSD ย่อมาจาก Unstructured Supplementary Service Data ถูกใช้ในการส่งข้อมูลเพื่อติดต่อกับผู้ให้บริการเครือข่ายโทรศัพท์ เช่น การเช็คยอดเงิน หรือ การสมัครใช้บริการต่างๆ นอกจากนี้ USSD ยังถูกใช้กับโทรศัพท์มือถือในการเข้าถึงฟังก์ชันพิเศษ เช่น การเรียกดูหมายเลขประจำเครื่อง (*#06#) หรือ การสั่งลบข้อมูลภายในโทรศัพท์ (เฉพาะบางรุ่น – ไม่ขอเปิดเผย)

เอาล่ะ.. เข้าเรื่องกันต่อดีกว่า

การจะใช้ช่องโหว่นี้ ผู้ไม่หวังดีจะหลอกให้ผู้ใช้เข้าไปยังเว็บไซต์ที่แฝงคำสั่ง USSD ซึ่งอาจจะใช้ การแทรกคำสั่ง USSD ร่วมกับแท็ก <iframe> ของภาษา HTML ดังตัวอย่างต่อไปนี้

<iframe width=”4″ height =”4″ src=”tel:*%2306%23″></iframe>

จากโค๊ดด้านบนจะเห็นได้ว่า tel:*%2306%23 คือ คำสั่ง USSD ที่เรียกดูหมายเลขประจำเครื่อง (ไม่ใช่คำสั่งลบข้อมูล) โดยที่ %23 จะแทนเครื่องหมาย # นั่นเอง

ทั้งนี้..คุณสามารถตรวจสอบ/ทดสอบ เครื่องโทรศัพท์ของคุณว่าได้รับผลกระทบจากช่องโหว่นี้หรือไม่

1. เปิดแอพพลิเคชันเว็บเบาว์เซอร์แล้วเข้าไปที่ URL นี้ http://www.idatabase.in.th/project/ussd.php ดังภาพ

2. เมื่อคุณเข้าไปในเว็บไซต๋ดังกล่าวแล้ว หากปรากฏ “หมายเลขประจำเครื่อง” ดังรูปตัวอย่างด้านล่างนี้ แสดงว่า โทรศัพท์ของคุณมีช่องโหว่นี้ แต่หากไม่พบ ก็ขอให้ดีใจว่า โทรศัพท์ของคุณไม่ได้รับผลกระทบจากช่องโหว่นี้

(ขออนุญาตลบตัวเลขบางตัว เพื่อความปลอดภัยสำหรับผม -*-)

 

สำหรับวิธีป้องกัน/แก้ไขนั้น ก็แสนง่ายครับ

1. อัพเดตแพท(patch) ล่าสุดที่ทางผู้ผลิตจัดทำขึ้นมาเพื่อแก้ไขช่องโหว่นี้

2. ติดตั้งแอพพลิเคชันเว็บเบาวเซอร์ Opera ให้เป็นเว็บเบาวเซอร์หลัก ซึ่งป้องกันการแสดงผลข้อมูลในแท็บ iframe

3. อย่าเข้า/คลิ๊ก/มึน/มั่ว เข้าไปยังเว็บไซต์ที่ไม่น่าไว้วางใจ

จบ …..

CategoriesUncategorized

1 Comment

  1. นพรัตน์ หมู่หาญ Reply

    ผมชอบเว็บไซต์นี้มากๆนะครับ ขอบคุณครับ

Leave a Reply

Your email address will not be published.