By: lew 
on 21 February 2023 - 20:30
Tags:
น.ส.สิริธิดา พนมวัน ณ อยุธยา ผู้ช่วยผู้ว่าการ สายนโยบายระบบการชำระเงินและเทคโนโลยีทางการเงิน ธนาคารแห่งประเทศไทย (ธปท.) ระบุถึงการอัพเดตแอปธนาคารหลายแห่งในช่วงนี้ที่เริ่มตรวจสอบแอปที่ใช้สิทธิ Accessibility และหากพบแล้วจะไม่ยอมให้ใช้งาน ว่าต้องมีเงื่อนไขที่ไม่กระทบผู้ใช้ทั่วไป
การติดตั้งโปรแกรมบนแอนดรอยด์จากนอกสโตร์ผ่านไฟล์ APK และแอปมุ่งร้ายอาศัยสิทธิ์ Accessibility เพื่อควบคุมเครื่องของเหยื่อนับเป็นแนวทางที่คนร้ายใช้งานอย่างต่อเนื่องในช่วงหลังจนเป็นที่เรียกกันว่าแอปดูดเงิน
คุณสิริธิดา ระบุว่าธนาคารควรตรวจสอบแอปว่าอาจจะมุ่งร้ายหรือไม่ โดยตรวจสอบอย่างน้อยสองเงื่อนไข ได้แก่ 1) แอปพลิเคชั่นมีการใช้สิทธิ์ Accessibility 2) แอปติดตั้งจากนอกสโตร์ เช่น Google Play ซึ่งหากดูจากสองเงื่อนไขนี้ก็ไม่ควรกระทบผู้ใช้ทั่วไป แต่หากแอปธนาคารตรวจสอบต่างไปจากนี้จนกระทบการใช้งานก็ให้ติดต่อธนาคารโดยตรงเพื่อแก้ไขต่อไป
ก่อนหน้านี้หลายธนาคารเพิ่มมาตรการตรวจสอบสิทธิ Accessibility เช่นนี้ซึ่งก็มีการรายงานว่าแอปในสโตร์จำนวนหนึ่ง เช่น แอปป้องกันไวรัสก็ถูกแอปธนาคารบล็อคไปด้วย กรณีเช่นนี้ชัดเจนว่าไม่ครบสองเงื่อนไขที่ธนาคารแห่งประเทศไทยชี้แจงมาในครั้งนี้ ก็ต้องรอดูว่าแอปธนาคารต่างๆ จะปรับแก้เงื่อนไขหรือไม่
ที่มา - แถลงจากธนาคารแห่งประเทศไทย
น.ส.สิริธิดา พนมวัน ณ อยุธยา ผู้ช่วยผู้ว่าการ สายนโยบายระบบการชำระเงินและเทคโนโลยีทางการเงิน ธนาคารแห่งประเทศไทย (ธปท.) เปิดเผยว่า ช่วงที่ผ่านมาธนาคารหลายแห่งได้ปรับปรุงระบบการรักษาความปลอดภัยของ mobile banking เพื่อป้องกันการหลอกให้ติดตั้งแอปพลิเคชันดูดเงินของมิจฉาชีพ ซึ่งรูปแบบหนึ่งของการหลอกลวงประชาชนทำโดยการหลอกให้ติดตั้งแอปพลิเคชันปลอม (ไฟล์ติดตั้งนามสกุล .apk) ใช้ความสามารถของ Accessibility Service ของระบบปฏิบัติการ Android ในการควบคุมเครื่องของเหยื่อ ดังนั้น ธนาคารจึงได้พัฒนาระบบรักษาความปลอดภัยบน Mobile Banking ให้มีการตรวจสอบการใช้งานโทรศัพท์มือถือ อย่างน้อย 2 เงื่อนไข คือ 1) เปิดแอปพลิเคชันที่ทำงานภายใต้ Accessibility Service และ 2) การติดตั้งแอปพลิเคชันที่ติดตั้งจากนอก Official Store (เข่น Play Store) ซึ่งมาตรการดังกล่าวจะไม่เกิดผลกระทบต่อการใช้งานของผู้ใช้บริการบางกลุ่มโดยทั่วไป หากมิได้มีการใช้แอปพลิเคชั่นที่ติดตั้งจากภายนอก อย่างไรก็ตามหากผู้ใช้บริการไม่สามารถเข้าใช้งาน Mobile Banking ได้สามารถติดต่อคอลเซ็นเตอร์ หรือสาขาของธนาคาร โดยธนาคารจะดูแลให้ความช่วยเหลือโดยเร็ว
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
แอนดรอย์ก็ยังเจาะได้อยู่เหมือนเดิมนั้นและ
ก็คือใช้แอพไม่ได้ ก็ไปทำธุรกรรมที่ธนาคารเอา 55555
@ Virusfowl
I'm not a dev. not yet a user.
มันก็ใช้ได้ปกติ นะ ยกเว้นผู้พิการ
APP ธนาคารเดียวนี้ถ้ามีโทรศัพท์เครื่องเดียว แล้วใช้งานไม่ได้คือความบรรลัย ถ้าเป็นกรณีใน กรุงเทพมหานคร ที่มีสาขาธนาคารเยอะยังไม่เท่าไหร่ สามารถไปสาขาแทนได้ แต่คนต่างจังหวัดนี่ซวยกว่ามาก สาขาอยู่ไกลบ้าน ร้านสะดวกซื้อก็มีค่าธรรมเนียม โดนค่าธรรมเนียมกินหัวหมด อ๋อถ้ามีตู้ ATM ก็คงบรรเทาลง โอนผ่านทางนั้นแทน(แต่มันจะใช่วิธีแก้ปัญหาจริงเหรอ) คนมันจะกลับมาใช้เงินสดก็แบบนี้แหล่ะ กระจายความเสี่ยงด้วยเพราะถ้าไม่มีเงินสดติดตัวเลนเวลาเจอปัญหาอะไรก็ตามที่ทำให้เข้าถึง App ฑนาคารไม่ได้ คือเละแน่นอน
ตอนนี้เป็นยุคลดสาขาธนาคารด้วย ยิ่งหนัก
บัญชีที่เคยอยู่สาขาใกล้บ้านแบบเดินไปได้
โดนปิดสาขา+ส่งบัญชีต่อให้สาขาใกล้เคียง 2-3 รอบละ
จนเป็นสาขาที่ห่างจากบ้านรวม 10กม.
อยากใกล้กว่านั้นต้องไปสาขาในห้าง
บล็อกแอปนอกก็พอแล้วมั้ง ไม่ต้องปิด accessibility
accessibility เป็นระบบที่ android ทำมาเพื่ออำนวยความสะดวกแก่ผู้ที่มีข้อจำกัดทางร่างกาย เช่น คนป่วย ผู้สูงอายุ คนพิการ
ปิดฟังก์ชั่นไหน ก็ย่อมมีคนที่ได้รับผลกระทบแน่นอน
แล้วระบบนี้ก็มีมานานเป็นสิบๆปีแล้ว ใช้กันทั่วโลก ถ้ามันไม่ดี ก็คงถูกยกเลิกไปตั้งแต่แรก
กลายเป็นว่า ป้องกันความผิดพลาดของ user บางคน ด้วยการผลักให้ user ทั่วไปอยู่บนความเสี่ยงแทนหรือเปล่า เพราะคนที่ได้รับผลกระทบต้องให้คนอื่นถือรหัสผ่านและทำธุรกรรมแทนให้
สงสัยว่าพวก accessibility ของ android
มันโดนแอปเถื่อนเจาะง่ายจนสามารถเข้าถึงแอปธนาคารในเครื่องใช่ไหม
การใช้งาน accessibility mode มันทำงานร่วมกับแอปบางตัวเพื่อประโยชน์สำหรับผู้พิการ ให้พวกแอปมาอ่านหน้าจอ หรือคอนเทนในแอปต่างๆ รวมไปถึงช่วยในการกดบนหน้าจอ เป็นต้น
ประเด็นคือตัว android มันติดตั้งแอปแบบ sideload ได้ ทำให้แอปที่ไม่ผ่านการตรวจสอบจาก playstore สามารถถูกติดตั้งโดยวิธีหลอกล่อผ่านช่องทางต่างๆ โดย user และหลอกล่อเปิด permission ให้กับแอปพวกนี้เพื่อใช้ accessibility mode
จริงๆปัญหาไม่ได้อยู่ที่ Accessibility หรอกครับ เข้าใจว่าทั้ง iOS และ Android ระบบ Accessibility ของทั้งคู่ก็ให้สิทธิที่สูงในระดับเดียวกัน เช่น อ่านเนื้อหาหรือข้อความในจอ พิมพ์ข้อความให้เอง กดปุ่มให้เอง ไปจนถึงสามารถควบคุมเครื่องได้เลย (เพราะงั้นถึงจำเป็นต้องให้ผู้ใช้ยืนยันอีกรอบก่อนใช้)
แต่ที่ iOS ต่างกับ Android ก็คือ Android มัน sideload แอปแปลกๆที่ใช้สิทธิ Accessibility ในการทำเรื่องไม่ดีเท่านั้นเองครับ
เพราะแบบนั้นหลายคนถึงบ่นว่ามันไม่ใช่การแก้ปัญหาที่ถูกจุดและสร้างความเดือดร้อนให้ผู้ใช้ทั่วไป
เอาความสะเพร่าของคนไม่กี่คน มาสร้างความยุ่งยากและความปลอดภัย รวมถึงความไม่เป็นส่วนตัวของผู้สูงอายุและคนพิการโดยแท้
ทั้งที่ตัวเองโง่เอง ถูกหลอกเองแท้ แต่กลับโทษนั่นโทษนี่ จนเกิดความยุ่งยากไปหมด ถ้าไม่โลภ ไม่โง่ ทั้งที่ข่าวก็มีมาทุกวัน คนที่เขาจำเป็นต้องใช้ Accessibilty ก็คงไม่เดือดร้อน
ธนาคารน่าจะออกกฎไปเลยว่า หากการถูกดูดเงินออก เกิดจากการติดตั้งจากแอปนอกสโต หรือเกิดจากการเข้าลิงก์ที่ไม่ปลอดภัย (ทั้งที่เขาออกข่าวเตือนทุกวัน) ธนาคารจะไม่รับผิดชอบใดๆ ทั้งสิ้น อ่านข่าวเรื่องนี้ทีไรโมโหทุกที
ธนาคารชาติใหญ่ๆ ไม่เห็นเขายุ่งยากแบบไทยเลย
ผมล่ะอยากรู้จริงๆว่ามันมีเคสที่อยู่เฉยๆ แล้วโดนบ้างมั้ยนะ
คนโดนก็บอกไม่ได้ทำอะไร
คนตีข่าวก็ตีสนุกเลย
ส่วนใหญ่ที่บอกว่าไม่ได้ทำอะไรน่าจะเป็นพวกแอปหาคู่ไม่ก็ 18+ ส่วนผมที่เคยโดนคือคนฝากซื้อของเว็ปนอกแล้วเหมือนเว็ปเขาเก็บข้อมูลบัตรไว้ทั้งหมดแล้วเว็ปโดนแฮก ดีที่ผมจำกัดวงเงินบัตรนั้นไว้เลยโดนไม่เยอะ
-100
ถ้าคนเราเลือกเกิดได้ ก็คงอยากเลือกเกิดมาฉลาด ๆ มีจริยธรรมสูงกันอยู่แล้วครับ แต่คนเราเลือกเกิดไม่ได้
That is the way things are.
social engineering แม้แต่คนทำงานในเทคคอมฯใหญ่ๆ จบสูงๆ รู้เรื่องเทคโนโลยี ยังโดนกันเลย ไม่ใช่เรื่องแปลกที่คนทั่วไปจะพลาดกันได้
เพิ่งเจอกับตัวสดๆมะวานซืนเลย แอปnext เจอว่าผมลงแอปนอกขึ้นไม่ให้สแกนจ่าย
ตั้งศุนย์แจ้ง อายัดบัญชี คือ แจ้งโดย cap หน้าจอมือถือ ปั๊บ โดนอายัดทั้งต้นทางปลายทาง แล้วให้มาปลดล๊อกที่ธนาคารด้วยตัวเองพร้อมบัตรประชาชน ถ้าแจ้งเท็จติดคุกทันที 6 เดือนไม่รอลงอาญา บัญชีม้าติดคุกทันที 10 ปี ไม่รอลงอาญา นี่มันยากมากมั้ย ?
Android พลังป้องกันน้อย ก็ต้องเสริมกันแบบนี้แหละ
ส่วน Iphone ปลอดภัยสูงกว่า อีกทั้งมิจฉาชีพ ก็ปล่อยแต่ APK
App Iphone จึงไม่ควรตรวจเรื่อง Accessibility
ไม่งั้นคนบางกลุ่มจะไม่มีทางเลือก
ถ้าใช้ไอเดีย whitelist
แบบเปิด app ธนาคารแล้วเจอ app ที่ใช้ Accessibility นอกเหนือใน whitelist ก็จะไม่ทำงานต่อ
จะช่วยได้มั๊ย?
หรือมิจฉาชีพ ก็สร้าง .apk ปลอมเป็น app ที่อยู่ใน whitelist ได้อยู่ดี?
ใช้แล้ว สร้างมาแล้ว หลอกให้ลง
แอพที่เข้าถึงAccessibilty ไม่น่าเยอะลงมั้ง เว้นแต่พวก apk ที่ไปแอบลงกันเอง แต่พอจะห้ามได้ ถ้าแอพไหนมี ก็ตรวจสอบไป
แอปที่เข้าถึง accessibility service มีเยอะนะครับ apk ที่แอบไปลงกันเองนี่สิที่น่าจะเข้าถึง accessibility service ไม่เยอะถ้าไม่ใช่แอปประสงค์ร้ายแต่แรก
ในเนื้อหาข้างบนเขาถึงบอกว่าถ้าจะเช็คก็เช็คว่าเป็นแอปที่ทั้งเข้าถึง accessibility service ทั้งลงจากนอก play store น่ะครับ
เนี่ย แล้วดูเครื่องผม
อัปเดต — วันนี้ผมไปที่สาขามาเพราะบัตรเครดิตกำลังจะครบกำหนดชำระ ทาง CC เสนอว่าไปทำผ่าน Easy Net น่าจะได้ แล้วแบบของผมที่แอปธนาคารอื่นเข้าได้ยกเว้น SCB เงินที่เตรียมจ่ายอยู่ในบัญชีไม่มีสมุดของ SCB เหมือนกัน ธนาคารทำอะไรให้ไม่ได้เลย ของบัตรก็บอกคนละบริษัทกันเพราะแยกเป็น Card X แล้ว จะแก้ให้จ่ายผ่าน SCB Easy Net ที่ลืมรหัสไปแล้วก็จะต้องรอ reset รหัสผ่าน 15 วัน ไม่ทัน จะปิดแล้วเปิดใหม่ก็ไม่ได้เพราะติดบัญชีไม่มีสมุด ได้แต่รอทางส่วนกลางที่ขอรายชื่อแอปทั้งหมดในเครื่องไปตรวจสอบอยู่ว่าน่าจะติดที่แอปไหนเพราะตัวแอป SCB Easy เองก็ดันไม่บอกว่าที่ไม่ยอมให้ใช้นี่ติดจากแอปอะไรเหมือนกับอีกค่ายนึง บอกให้จ่ายผ่านธนาคารอื่นก็ไม่ได้อีกเพราะเงินอยู่ในนั้น (+ไม่ทันอยู่ดีเพราะถ้าชำระผ่านธนาคารอื่นคือต้องรอ 3 วันทำการ ผมแบบ ห้ะ)
อ่อ ผมเห็นโพสต์นึงของ KTB เข้าแอปไม่ได้ ของเค้ามีขึ้นชัดเจนว่าติดอะไรจากแอปไหนให้ไปถอนแอปนั้นออกแล้วใช้งานได้เลยนะครับ SCB ไม่บอกทั้งผมทั้งเค้าว่าติดอะไร 🙄
แล้วก่อนหน้านี้ธนาคารก็พยายามจะเลิกให้บริการ E-Banking บนเว็บด้วยนะ
กลายเป็นต้องไปติดต่อสาขาด้วยตนเอง แทนที่จะเหลิอไว้เป็นช่องทางพื้นฐาน
IT ธนาคารยุคนี้ ถอยหลังลงคลอง แทนที่เทคโนโลยีก้วหน้าขึ้น จะสบายขึ้น
Accessibilty => Accessibility
เว็บแบ็งค์ก็ทยอยปิด สาขาก็ทยอยปิด
กรุงไทยปิดเว็บแบ็งกิ้งเนี่ยผมหล่ะเซ็งจริงๆ
สิทธ Accessibility ก็เหมือนสิทธ root ใน OS แหละ
แต่อันนี้มันเป็นมือถือที่คนใช้มีหลายระดับความรู้และความสติมาก ใครโลภ ใครกลัว ใครไม่รู้ ใครยังมีกิเลส ก็ตกเป็นเหยื่อในพริบตาได้ทั้งนั้น บางที่พลาดนิดเดียวมันเงินเก็บทั้งชีวิตเค้า คนยังไม่โดนบางคนมักดูถูกคนโดน
ยกเว้นเรื่องคนพิการซึ่งเข้าใจว่าเค้ากำลังหาทางแก้กันอยู่ การปิดไว้แล้วค่อยๆ กำหนด whitelist ไล่ไปเนื่ยผมว่าดีทีสุด(ไม่ใช่ดีแบบไม่มีที่ติ)แล้วตอนนี้แล้ว
พวกที่ติด่า อยากให้เสนอทางออกที่ดีกับส่วนรวมด้วย ไม่ใช่เอาแต่สะดวกกับตัวเองโดยทิ้งคนทีโอกาสน้อยกว่าเราไว้เบื่องหลัง
iOS เค้าเข้มเรื่องสิทธมากครับ แนวคิด ecosystem ของ 2 ค่ายและเรื่องอื่นๆในโลกมันก็แยกกันคล้ายๆ กันแบบนี้ชัดเจนอยู่แล้ว ไม่มีแบบไหนดีแบบไม่มีที่ติหรอกครับ