ที่งาน RSA Conference วันนี้ Will Dormann นักวิจัยจาก CERT ที่มหาวิทยาลัย Carnegie Mellon รายงานถึงช่องโหว่การตรวจสอบใบรับรอง SSL ที่มีแอพจำนวนมากเขียนโค้ดอย่างหละหลวม ทำให้ตัวแอพไม่ตรวจสอบใบรับรองทำให้แฮกเกอร์สามารถดักฟังแบบ man-in-the-middle ได้

Dormann ระบุว่าทาง CERT ตรวจสอบแอพกว่าล้านรายการเมื่อต้นปีที่ผ่านมา และพบแอพที่มีช่องโหว่นี้มากถึง 23,667 แอพ ทางทีมงานได้ส่งอีเมลไปแจ้งผู้พัฒนา เกือบทั้งหมดไม่มีการตอบกลับใดๆ บางส่วนแสดงท่าทีว่าอีเมลแจ้งเตือนเป็นเรื่องแย่ มีอีเมลตอบกลับพร้อมแจ้งการแก้ปัญหาเพียง 0.1% เท่านั้น

Adrian Ludwig ผู้ดูแลความปลอดภัยระบบแอนดรอยด์ระบุว่าตามข้อตกลงการใช้งานของกูเกิล กูเกิลมีสิทธิถอดแอพที่มีช่องโหว่เหล่านี้ออกจากตลาด แต่ปัญหาที่ยากที่สุดคือการบีบให้นักพัฒนาออกอัพเดตแอพเหล่านี้ ทางกูเกิลเคยเตือนไปบ้างแล้วและจะเตือนหนักขึ้นในอนาคต

ที่มา - Threatpost