เมื่อกลางเดือนกันยายนที่ผ่านมา AdaptiveMobile Security บริษัทวิจัยความปลอดภัยไซเบอร์รายงานถึงช่องโหว่ซอฟต์แวร์ในตัวซิมโทรศัพท์ ที่เปิดทางให้แฮกเกอร์ส่ง SMS เข้าไปรันโค้ดบนซิม ควบคุมการทำงาน เช่น การรายงานตำแหน่งโทรศัพท์ หรือการส่ง SMS แทนคนร้าย ล่าสุด Ginno Security Lab ก็แจ้งมายังเว็บไซต์ Hacker News ระบุว่านักวิจัยได้พบช่องโหว่แบบเดียวกันนี้บนซอฟต์แวร์อีกตัว คือ Wireless Internet Browser (WIB) ที่มีผู้ใช้นับร้อยล้านซิม

Google Voice มีบริการแปลงข้อความเสียงเป็นข้อความตัวอักษร แต่เพราะเป็นระบบอัตโนมัติจึงแปลงข้อความ robocall และส่ง SMS มาด้วย ทำให้เครือข่ายโทรศัพท์บล็อคข้อความเนื่องจากมองว่าเป็นสแปม

ล่าสุด Google ประกาศยยกเลิกฟีเจอร์แปลงข้อความเสียงเป็นข้อความตัวอักษรบน Google Voice แล้ว โดยมีกำหนดวันที่ 9 สิงหาคมนี้

ธนาคารของเยอรมนีหลายราย ประกาศแผนการเลิกใช้ระบบยืนยันตัวตนแบบ OTP ผ่าน SMS เนื่องจากเป็นวิธีการยืนยันตัวตนที่ "ไม่ปลอดภัย" ซะแล้ว

การขยับตัวของธนาคารในเยอรมนี เป็นผลมาจากกฎหมาย Payment Services Directive (PSD) ของสหภาพยุโรปที่ออกในปี 2015 และมีผลบังคับใช้ในวันที่ 14 กันยายนปีนี้ ซึ่งกฎหมายระบุว่าธนาคารต้องใช้วิธีการยืนยันตัวตนที่ผ่านมาตรฐาน strong customer authentication (SCA) ที่แข็งแกร่งเพียงพอ

ตัวอย่างวิธีการยืนยันตัวตนที่ผ่านมาตรฐาน SCA คือ การใช้รหัสผ่าน, PIN, passphrase, การตอบคำถามที่อิงกับความรู้, การลากนิ้วเป็นเส้น

ส่วนวิธีการยืนยันตัวตนที่ไม่ผ่านมาตรฐานคือ การใช้ user name, email address, ข้อมูลบนบัตรเครดิต/เดบิต และการใช้รหัส OTP ที่ส่งผ่าน SMS

Facebook ได้ปล่อยเครื่องมือสำหรับนักพัฒนาชุดใหม่ของ WhatsApp แล้ว โดยมีฟีเจอร์ที่น่าสนใจรอบนี้คือการเปิดให้ WhatsApp ใช้เป็นเครื่องมือรับรหัสยืนยันตัวตน เป็นทางเลือกเพิ่มเติมจากการส่งผ่าน SMS

SDK ชุดใหม่ของ WhatsApp นี้ เป็นส่วนหนึ่งของ Account Kit สามารถนำใส่เข้าไปกับแอปบน iOS หรือ Android ได้ โดยนักพัฒนาจะรับเบอร์โทรศัพท์ และให้ผู้ใช้เลือกได้ว่าจะรับโค้ดยืนยันตัวตนผ่านทาง WhatsApp หรือ SMS หรือจะบังคับให้รับโค้ดจาก WhatsApp อย่างเดียวเลยก็ได้ โดย web SDK ของ WhatsApp มีฟีเจอร์นี้มาตั้งแต่ปลายปีที่แล้ว และเพิ่งจะปล่อยลงแอปมือถือตอนนี้

ช่องโหว่ในโปรโตคอล Signalling System No. 7 (SS7) ที่ใช้ดัก SMS มีรายงานและการสาธิตกันมาหลายปีและหลายครั้งแล้ว โดยถึงแม้ข่าวการโจมตีผ่านทาง SS7 อาจจะดูเงียบๆ แต่เว็บไซต์ Motherboard ก็ออกรายงานระบุว่ามีแฮกเกอร์ใช้วิธีนี้เยอะกว่าที่คิด และหลายธนาคารก็ตกเป็นเหยื่อแล้ว

ศูนย์ความมั่นคงปลอดภัยไซเบอร์สหราชอาณาจักร (National Cyber Security Centre - NCSC) ยืนยันว่ามีเหตุการแฮกบัญชีธนาคารด้วยการดักรับ SMS ที่ใช้ส่งรหัสสำหรับการล็อกอินสองขั้นตอนจริง โดยไม่ได้ระบุมีคดีมากน้อยเพียงใด แต่ก็ยืนยันว่าการใช้การล็อกอินสองขั้นตอนด้วย SMS ยังดีกว่าการล็อกอินด้วยรหัสผ่านอย่างเดียวมาก

G Suite ประกาศเตรียมยกเลิกฟีเจอร์เก่าแก่หนึ่งของ Google Calendar นั่นคือการแจ้งเตือนนัดหมายผ่าน SMS โดยคุณสมบัติดังกล่าวจะถูกนำออกไป มีผลกับผู้ใช้ G Suite ทุกคนตั้งแต่ 7 มกราคม 2019 เป็นต้นไป

กูเกิลแนะนำผู้ใช้ที่เดิมสะดวกรับการแจ้งเตือนผ่าน SMS ว่าให้เปลี่ยนมารับการแจ้งเตือนผ่านหน้าเว็บเบราว์เซอร์ หรือผ่านแอป Google Calendar ในมือถือ รวมทั้ง Google Calendar ยังส่งการแจ้งเตือนนัดหมายผ่านอีเมลอยู่แล้วด้วย

Google Calendar ยกเลิกคุณสมบัติ SMS สำหรับผู้ใช้ทั่วไปตั้งแต่ปี 2015 เนื่องจากความนิยมในสมาร์ทโฟนที่มากขึ้น แต่ยังเก็บไว้สำหรับผู้ใช้งานแบบเสียเงินมาจนถึงเดือนมกราคมปีหน้านั่นเอง

บริษัท Voxox ผู้ให้บริการสื่อสารที่มีสำนักงานอยู่ในรัฐแคลิฟอร์เนียถูกค้นพบว่าไม่ได้ล็อกรหัสผ่านเซิร์ฟเวอร์ฐานข้อมูลไว้ เปิดให้ใครก็ได้เข้าใช้งานและเก็บข้อความ SMS ได้ทันทีในระดับเกือบเรียลไทม์

Sébastien Kaul นักวิจัยความปลอดภัยระบุว่า เขาพบเซิร์ฟเวอร์นี้จาก Shodan เสิร์ชเอนจินที่ค้นหาฐานข้อมูลและอุปกรณ์ที่เข้าถึงได้จากสาธารณะ และเซิร์ฟเวอร์นี้ถูกผูกเข้ากับซับโดเมนของ Voxox ด้วย

หลายคนคงเคยเจอปัญหาเข้าเว็บไซต์บางแห่ง และถูกหลอกให้กรอกเบอร์มือถือ เพื่อสมัครบริการ SMS เสียเงินโดยไม่รู้ตัว แถมยังไม่สามารถพึ่งพาโอเปอเรเตอร์ให้แก้ปัญหานี้ให้เราได้มากนัก

กูเกิลจะช่วยแก้ปัญหานี้ใน Chrome เวอร์ชัน 71 โดย Chrome จะสแกนว่าหน้าเว็บนั้นๆ มีการให้ข้อมูลเรื่องค่าใช้จ่ายต่อผู้ใช้อย่างชัดเจนหรือไม่ หาก Chrome พิจารณาว่าเว็บไซต์นั้นพยายามหลอกให้ผู้ใช้เสียเงิน ก็จะบล็อคการแสดงผลเว็บนั้น ลักษณะเดียวกับเว็บไซต์ประสงค์ร้ายอื่นๆ

การแจ้งเตือนจะมีผลทั้งบนเดสก์ท็อป บนมือถือ และ Android WebView

ที่มา - Chromium Blog

กูเกิลเปิดตัวเว็บแอพ Android Messages ที่ใช้งานได้ผ่าน messages.android.com

ผู้ใช้ต้องติดตั้งแอพ Android Messages บนมือถือก่อน จากนั้นสแกน QR Code เพื่อเปิดใช้งานบนเว็บ ข้อความทั้งหมดจะถูกซิงก์จากมือถือมายังเวอร์ชันเว็บด้วย

นอกจากนี้ กูเกิลยังเพิ่มฟีเจอร์ใหม่ๆ ให้ Android Messages อย่างการส่งไฟล์ GIF, ฟีเจอร์ Smart Reply แบบเดียวกับ Gmail, พรีวิวลิงก์ที่ส่งผ่านแชท และฟีเจอร์แตะครั้งเดียวเพื่อก๊อปปี้ OTP จาก SMS ไปใช้ในแอพอื่นอีกทีหนึ่ง

ปัญหา SMS กินเงินเป็นปัญหาที่ผู้ใช้จำนวนมากเจอกัน (ผมเองเคยเจอกับตัวเมื่อปีที่แล้ว) ตอนนี้ทาง dtac ก็ออกมาตรการเพิ่มเติม

มาตรการในตอนนี้ได้แก่

3 ธันวาคม เมื่อ 25 ปีที่แล้ว Neil Papworth วิศวกรส่ง SMS เป็นครั้งแรกในโลกด้วยข้อความว่า "merry Christmas" ส่งจากคอมพิวเตอร์ไปยังโทรศัพท์มือถือของ Richard Jarvis ผู้จัดการ Vodafone ผ่านมา 25 ปี วิวัฒนาการการส่งข้อความเปลี่ยนไปมากทีเดียว

กูเกิล ปรับวิธีการยืนยันตัวตนแบบสองปัจจัย (2-Step Verification) จากเดิมที่ใช้ค่าดีฟอลต์เป็นการส่งโค้ดผ่าน SMS เปลี่ยนมาเป็นการยืนยันด้วยแอพบนมือถือแทน

ตอนนี้หลายคนที่ล็อกอินบัญชี Google Account น่าจะเคยเจอกับหน้าจอ Google Prompt บนมือถือ ที่ถามยืนยันเราว่าล็อกอินจากอุปกรณ์อื่นหรือไม่ ฟีเจอร์นี้เปิดใช้งานมาสักระยะหนึ่งแล้ว แต่เพิ่งกลายเป็นตัวเลือกหลัก (primary method) แทน SMS

ผู้ที่อยากใช้การยืนยันตัวตนด้วย SMS หรือกรอกโค้ดผ่าน Google Authenticator ยังใช้งานได้เหมือนเดิม ในข่าวนี้เปลี่ยนแค่ค่าดีฟอลต์สำหรับผู้ใช้ที่เพิ่งเปิดใช้ 2-Step Verification เท่านั้น ส่วนคนที่ใช้ 2-Step Verification อยู่แล้วก็จะใช้ค่าเดิมที่ตั้งไว้

Dmitry Kurbatov หัวหน้าฝ่ายความปลอดภัยการสื่อสารของ Positive Technologies ออกมาสาธิตการขโมยเงินในบัญชี Coinbase ด้วยการดักรับ SMS จากเครือข่าย SS7 แสดงให้เห็นว่าสุดท้ายแล้วบริการกระเป๋าเงินบิตคอยน์อย่าง Coinbase ก็ไปขึ้นกับ SMS ในท้ายที่สุด เมื่อแฮกเกอร์สามารถขโมย SMS ได้ก็จะสามารถขโมยบัญชีทีละอย่างจนได้เงินในกระเป๋าเงินไป

4 โอเปอเรเตอร์ใหญ่ของสหรัฐอเมริกาได้แก่ AT&T, Verizon, T-Mobile, Sprint ประกาศตั้งกลุ่ม Mobile Authentication Taskforce เพื่อวางมาตรฐานการยืนยันตัวตนผ่านอุปกรณ์พกพา

เป้าหมายของกลุ่มคือพัฒนาระบบยืนยันตัวตนด้วยอุปกรณ์พกพาที่ใช้แทน SMS (ซึ่ง NIST หน่วยงานด้านมาตรฐานอุตสาหกรรมของสหรัฐ แนะนำให้เลิกใช้) โดยแนวทางที่จะนำมาใช้แทนมีทั้งการตรวจสอบซิมการ์ด, พิกัดเครื่อง, การเชื่อมต่อกับโครงข่าย

ตอนนี้ทางกลุ่มยังไม่มีผลงานออกมา (เพิ่งประกาศตั้งกลุ่ม) โดยตั้งเป้าว่าจะออกผลงานในปี 2018

หลังจากแอพ Hangouts ถูกแยกร่างและผนวกเข้า G Suite ไปนั้น ล่าสุดผู้ใช้ Hangouts ที่ใช้เป็นแอพรับส่ง SMS เป็นหลัก จะได้รับข้อความแจ้งเตือนว่าแอพจะหยุดรองรับการใช้งาน SMS ในวันที่ 22 พฤษภาคมนี้

หากเข้าแอพ Hangouts ในช่วงนี้เป็นต้นไป แอพจะแจ้งเตือนเรื่องนี้ที่หน้าแรกด้านบน โดยในข้อความแจ้งเตือน Google ได้แนะนำให้เลือกแอพ SMS อื่นเป็นหลักแทน และถ้าไม่ได้เลือกก่อนวันที่ 22 พฤษภาคม ก็จะเลือกแอพ SMS ในเครื่องให้เอง

ส่วนผู้ใช้ Google Voice และ Project Fi ยังสามารถใช้งานได้ตามปกติเนื่องจากยังมีปริมาณผู้ใช้งานอยู่ต่อเนื่อง

กสทช. ได้ประกาศว่าผู้ใช้โทรศัพท์มือถือทุกเครือข่ายสามารถกดเบอร์ *137 เพื่อยกเลิก sms โฆษณาต่างๆ ได้ โดยมีตัวเลือกให้เลือก 3 ข้อคือยกเลิกโฆษณาประชาสัมพันธ์ทุกชนิด, ยกเลิกโฆษณาที่เก็บเงิน และยกเลิกทั้ง 2 แบบ

สำหรับเครือข่าย AIS, dtac, True จะเป็นระบบอัตโนมัติ ขณะที่ CAT จะมีเจ้าหน้าที่คอลเซ็นเซอร์รับสาย ส่วนเครือข่าย TOT3G ให้พิมพ์ชื่อผู้ส่งที่ไม่ต้องการรับ SMS เว้นวรรคตามด้วย b และส่งไปที่ 1777 ฟรี

ที่มา - ประชาชาติธุรกิจ

NIST หน่วยงานออกมาตรฐานอุตสาหกรรมที่เป็นผู้ออกมาตรฐานการเข้ารหัสจำนวนมากในทุกวันนี้ เปิดรับฟังความเห็นร่างเอกสาร NIST SP 800-63B มาตรฐานการยืนยันตัวตนดิจิตอลเวอร์ชั่นใหม่ เพื่อรับฟังความเห็นจากสาธารณะ

เอกสารนี้กำหนดมาตรฐานกระบวนการยืนยันตัวตนให้ปลอดภัย ตั้งแต่กระบวนการเบื้องต้นเช่นการจำกัดจำนวนครั้งที่การยืนยันตัวตนล้มเหลว, การใช้งานการยืนยันตัวตนหลายขั้นตอน แต่ความเปลี่ยนแปลงที่สำคัญคือการเตรียมยกเลิกการยืนยันตัวตนด้วย SMS

การยืนยันตัวตนด้วย SMS ยังคงยอมรับได้ในร่างเอกสาร แต่ประกาศสถานะเป็น deprecated และจะไม่รวมอยู่ในเอกสารนี้เวอร์ชั่นต่อไป

SMSToControl เป็นแอพที่ทำให้คุณสามารถควบคุมเครื่องของคุณจากระยะไกลโดยการส่งข้อความ SMS ให้ตรงกับคีย์เวิร์ดที่ตั้งเอาไว้

ขณะนี้มี 4 ฟังก์ชั่นให้ใช้งาน คือ

• “ขอตำแหน่งที่อยู่” - ขอตำแหน่งที่อยู่ปัจจุบันเครื่องของคุณ
• “ส่งเสียงร้อง” - ทำให้เครื่องของคุณส่งเสียงร้องด้วยระดับเสียงสูงสุด
• “ล็อก” - ล็อกเครื่องของคุณและตั้งรหัสผ่านใหม่
• “ล้างข้อมูล” - ลบไฟล์ข้อมูลทั้งหมดและคืนค่าเริ่มต้นของเครื่อง

ฟังก์ชั่นทั้งหมดนี้ทำงานได้โดยไม่ต้องใช้อินเทอร์เน็ต เพราะฉะนั้นถ้าเกิดคุณทำเครื่องของคุณหายโดยไม่ได้ต่ออินเทอร์เน็ตเอาไว้ คุณก็สามารถใช้แอพนี้ช่วยหาหรือป้องกันข้อมูลในเครื่องของคุณได้

Screenshot หน้าตาภายในแอพ

หลายครั้งที่เราอาจจะเชื่อว่าการแจ้งเตือนผู้ป่วยผ่านทาง SMS นั้นอาจจะเป็นตัวเลือกที่ดีทางหนึ่ง ซึ่งทำให้ผู้ป่วยมาพบแพทย์หรือรับการรักษาตรงเวลา แต่งานวิจัยชิ้นล่าสุดจาก Sydney Sexual Health Centre ที่ตีพิมพ์ในวารสาร Journal of the American Medical Informatics Association (JAMIA) เปิดเผยว่าอาจจะไม่เป็นเช่นนั้นเสมอไป ในกรณีของผู้ป่วยที่ต้องเข้ามารับวัคซีนป้องกันโรคไวรัสตับอักเสบชนิดบี

ปีที่แล้วเราเห็นข่าว กูเกิลซื้อ Jibe Mobile เพื่อผลักดันการส่งข้อความแบบ RCS บน Android ล่าสุดสมาคม GSMA พร้อมโอเปอเรเตอร์รายใหญ่ทั่วโลก ประกาศความร่วมมือกับกูเกิลเพื่อผลักดัน RCS เต็มตัว

Rich Communication Services (RCS) เป็นมาตรฐานการส่งข้อความแบบใหม่ที่มาแทน SMS โดยมีฟีเจอร์สมัยใหม่อย่างแชทกลุ่ม วิดีโอคอลล์ แชร์ไฟล์ ฯลฯ ความแตกต่างของ RCS กับแอพแชทในปัจจุบันคือ RCS สามารถคุยได้ข้ามโอเปอเรเตอร์-ข้ามค่าย (ถ้าหากโอเปอเรเตอร์รองรับ)

SMS อาจถือเป็นเทคโนโลยีการสื่อสารที่ประสบความสำเร็จอย่างมากของมนุษยชาติ แต่ตัวเทคโนโลยีก็เริ่มถึงขีดจำกัดของมันในแง่ความหลากหลายของข้อมูลที่ส่ง ทำให้สมาคม GSM Association เริ่มพัฒนามาตรฐานใหม่ชื่อ Rich Communication Services (RCS) ขึ้นมาทดแทน

RCS หรือชื่อทางการค้า "joyn" มีความสามารถที่ระบบข้อความยุคใหม่ควรมีครบครัน เช่น การคุยแบบกลุ่ม แชร์ไฟล์ แชร์พิกัด สนทนาด้วยเสียง/วิดีโอ

Matti Makkonen อดีตวิศวกรของโนเกีย เสนอให้โทรศัพท์มือถือสามารถส่งข้อความเป็นตัวอักษรได้มาตั้งแต่ปี 1984 และใช้เวลาถึง 8 ปีกว่าโทรศัพท์มือถือจะสามารถส่งข้อความตัวอักษรได้จริงในปี 1992 เขาเสียชีวิตเมื่อวันที่ 26 ที่ผ่านมาด้วยวัยเพียง 63 ปี

SMS กลายเป็นช่องทางสื่อสารสำคัญที่ผู้ใช้โทรศัพท์มือถือใช้งานกันต่อเนื่องหลายปี ในปี 2012 เป็นจุดสูงสุดของ SMS ที่มีผู้ส่งข้อความทั่วโลกถึง 7.76 ล้านล้านข้อความ อย่างไรก็ดี Makkonen ไม่ได้จดสิทธิบัตร SMS เปิดทางให้ระบบการส่งข้อความบนโทรศัพท์มือถือ แอพพลิเคชั่นแชต ไปจนถึงเครือข่ายสังคมออนไลน์ที่เลียนแบบ SMS อย่างทวิตเตอร์เกิดขึ้นในโลกกันมากมาย

จากการประกาศล่าสุดเมื่อไม่นานนี้ ทาง Google ได้ส่งข้อความมาหาผู้ใช้งาน (รวมถึงผมด้วย) แจ้งว่า Google Calendar จะยกเลิกการเจ้งเตือนผ่าน SMS หลังจากวันที่ 27 มิถุนายนนี้เป็นต้นไป

โดยทาง Google ได้แจ้งผู้ใช้งานว่า หากมีการเปิดการแจ้งเตือนไว้ จะได้รับผ่านแอพ Google Calendar บนโทรศัพท์มือถือ และบนเว็บเบราว์เซอร์ที่ผู้ใช้งานเปิด Google Calendar เท่านั้น

ที่มา : SMS ที่ได้รับจากมือถือของผมเอง, Google Support

Google Calendar มีบริการแจ้งเตือนนัดหมายสำคัญผ่าน SMS มาตั้งแต่ช่วงแรกๆ ที่เปิดตัวเนื่องจากสมาร์ทโฟนยังไม่ได้รับความนิยม ล่าสุดทาง Google ได้ส่งอีเมลแจ้งให้ผู้ใช้ทราบว่า การแจ้งเตือนกิจกรรมบน Google Calendar ผ่าน SMS จะหยุดให้บริการลงในวันที่ 27 มิถุนายนนี้ โดยทีมงานให้เหตุผลว่าการแจ้งเตือนผ่านสมาร์ทโฟนนั้นน่าเชื่อถือและดีกว่าการแจ้งเตือนด้วยระบบออฟไลน์

ทั้งนี้ผู้ใช้งานประเภท Google Drive for Work, Google Apps for Work (paid edition), Education และ Government customers ยังสามารถใช้งานได้ต่อไปครับ

ที่มา : อีเมลจาก Google Calendar Team / Calendar Help

หลังจากที่มีการสงสัยกันว่าไอคอนแอพลึกลับใน Android 5.0 Lollipop คืออะไร จนกูเกิลต้องออกมาเฉลยว่ามันคือแอพ Messenger ที่เอาไว้รับส่ง SMS/MMS โดยเฉพาะ วันนี้กูเกิลเปิดให้ดาวน์โหลดผ่าน Play Store แล้ว โดยมีฟีเจอร์ดังนี้: