384/68 (IT) ประจำวันจันทร์ที่ 6 ตุลาคม 2568
การศึกษาล่าสุดโดย Zimperium zLabs ได้เผยผลลัพธ์ที่น่าตกใจสำหรับผู้ใช้งานหลายล้านคนที่พึ่งพาแอปพลิเคชัน Virtual Private Network (VPN) ฟรี บนระบบปฏิบัติการ iOS และ Android เพื่อรักษาความเป็นส่วนตัวทางออนไลน์ การวิเคราะห์แอปฯ ฟรี เกือบ 800 รายการ พบว่าจำนวนมากไม่เพียงแต่ล้มเหลวในการปกป้องผู้ใช้เท่านั้น แต่ยังเปิดเผยข้อมูลสำคัญให้ตกอยู่ภายใต้ภัยคุกคามด้านความปลอดภัยและความเป็นส่วนตัวที่ร้ายแรง จากการตรวจสอบพบช่องโหว่ทางเทคนิคที่สำคัญ อาทิ การใช้ซอฟต์แวร์ที่เก่าและเสี่ยงอันตราย รวมถึงการยังคงมีช่องโหว่ร้ายแรงอย่าง Heartbleed bug (CVE-2014-0160) ในแอปฯ บางตัว ซึ่งอนุญาตให้ผู้โจมตีระยะไกลสามารถอ่านข้อมูลสำคัญ เช่น secret keys, ชื่อผู้ใช้ และรหัสผ่านได้ นอกจากนี้ ยังมีแอปฯ ประมาณ 1% ที่เสี่ยงต่อการถูกโจมตีแบบ Man-in-the-Middle (MitM) ซึ่งทำให้ผู้โจมตีสามารถดักจับและอ่านข้อมูลการรับส่งทั้งหมดของผู้ใช้ได้
อีกหนึ่งประเด็นสำคัญที่ถูกค้นพบคือการที่แอปฯ เหล่านี้มีการ ร้องขอสิทธิ์การเข้าถึงระบบที่มากเกินความจำเป็น หรือที่เรียกว่า Permission Abuse ตัวอย่างเช่น แอปฯ VPN บน iOS บางตัวร้องขอการเข้าถึงตำแหน่งที่ตั้งแบบ “ตลอดเวลา” (LOCATION_ALWAYS) ซึ่งไม่มีความเกี่ยวข้องกับภารกิจหลักของ VPN ในการรักษาความปลอดภัยของการรับส่งข้อมูล หรือแอปฯ Android บางตัวร้องขอสิทธิ์ในการอ่านบันทึกระบบทั้งหมด ซึ่งอาจถูกนำไปใช้เพื่อสร้างโปรไฟล์พฤติกรรมของผู้ใช้ได้อย่างสมบูรณ์ เสมือนเป็น “เครื่องบันทึกการกดแป้นพิมพ์ (keylogger) ขั้นสูง” การกระทำเหล่านี้บ่งชี้ว่าแอปฯ มีศักยภาพในการเป็นเครื่องมือสอดแนมที่เกินกว่าหน้าที่ที่ควรจะเป็น ซึ่งเป็นเรื่องที่น่ากังวลอย่างยิ่งสำหรับความเป็นส่วนตัวของผู้ใช้ และเป็นการตอกย้ำถึงการขาดความโปร่งใสในการจัดการข้อมูล โดยเฉพาะอย่างยิ่ง 25% ของแอปฯ iOS VPN ขาดการแสดง Privacy Manifest ที่ถูกต้องตามที่กำหนด
สำหรับองค์กรที่มีนโยบายอนุญาตให้พนักงานนำอุปกรณ์ส่วนตัวมาใช้ในการทำงาน (Bring-Your-Own-Device หรือ BYOD) แอปฯ VPN ที่ไม่ปลอดภัยเหล่านี้อาจกลายเป็น จุดเชื่อมโยงที่อ่อนแอที่สุด ทำให้ข้อมูลทางธุรกิจที่ละเอียดอ่อนตกอยู่ในความเสี่ยงอย่างไม่จำเป็น ดังนั้น ผู้เชี่ยวชาญจึงย้ำเตือนว่าองค์กรและผู้ใช้งานควรตระหนักถึงความเสี่ยงที่แท้จริงของแอปฯ VPN มือถือฟรี เพราะสิ่งที่คิดว่ากำลังปกป้องความเป็นส่วนตัว อาจกลายเป็นความเสี่ยงที่ใหญ่ที่สุดต่อข้อมูลของคุณ ผู้เชี่ยวชาญแนะนำให้องค์กรใช้แนวทางการตอบสนองแบบหลายชั้น รวมถึงการจัดการและการมองเห็นอุปกรณ์ปลายทาง (Endpoint Visibility and Management) และการพิจารณาการเปลี่ยนแนวคิดด้านความปลอดภัยจากแนวคิดที่เน้นขอบเขตเครือข่าย (perimeter-based security) ไปสู่การป้องกันข้อมูลในระดับเนื้อหา (content-level data security) เพื่อให้การเชื่อมต่อกับเว็บไซต์และบริการต่าง ๆ สามารถเชื่อถือได้ แม้ว่าการมองเห็นแบบดั้งเดิมจะถูกกระทบก็ตาม
แหล่งข่าว https://hackread.com/studyfree-ios-android-vpn-apps-leak-data/
