Clear
Lead Graphic Papers

ไทยเซิร์ตพบช่องโหว่ของแอพพลิเคชัน LINE แฮกเกอร์สามารถดักรับข้อมูลบนเครือข่าย LAN/WiFi และอ่านบทสนทนาได้ทันที ผู้ใช้งานควรอัพเดทเวอร์ชันใหม่

ผู้เขียน: พรพรหม ประภากิตติกุล
วันที่เผยแพร่: 20 ธันวาคม 2556
ปรับปรุงล่าสุด: 20 ธันวาคม 2556

Share on Facebook Share on Twitter Share on Google+

ถึงแม้เทคโนโลยีช่วยเพิ่มความสะดวกสบายในการใช้ชิวิตประจำวัน แต่ก็ยังพบว่าในหลายครั้งที่เทคโนโลยีคือปัจจัยสำคัญที่สามารถสร้างปัญหาให้กับผู้ใช้งานได้เช่นกัน บางครั้งถึงขั้นทำให้เสื่อมเสียชื่อเสียงจนไปถึงขั้นสูญเสียทรัพย์สินก็เป็นได้ ดังจะกล่าวถึงในบทความนี้เกี่ยวกับปัญหาช่องโหว่ของแอพพลิเคชัน LINE ที่นักวิจัยจากไทยเซิร์ตพบ ซึ่งการโจมตีช่องโหว่ดังกล่าวอาจถูกใช้เป็นช่องทางของแฮกเกอร์ในการเข้าถึงข้อมูลบทสนทนาของแอพพลิเคชัน LINE ที่มีความสำคัญของผู้ใช้งานได้อย่างง่ายดาย

แอฟพลิเคชัน Line กับการเชื่อมต่อบนโลกออนไลน์ยุคใหม่

LINE เป็นแอพพลิเคชันประเภทแชทที่ได้รับความสนใจจากผู้ใช้งานในประเทศไทยเป็นอย่างมาก ปัจจุบันมีจำนวนผู้ใช้งานในประเทศไทยแล้วมากกว่า 18 ล้านผู้ใช้งาน เนื่องด้วยมีฟังก์ชันการใช้งานที่หลากหลาย เช่น การสนทนาแบบกลุ่ม การแชร์พิกัดสถานที่ การคุยผ่านเสียง การคุยผ่านวีดีโอ การส่งสติกเกอร์ ส่วนใหญ่เป็นบริการที่ไม่เสียค่าใช้จ่าย รวมถึงแอพพลิเคชันยังรองรับการใช้งานได้ทั้งบนโทรศัพท์สมาร์ทโฟน และบนเครื่องคอมพิวเตอร์อีกด้วย โดยเว็บไซต์ผู้พัฒนาของ LINE ได้ระบุว่าผู้ใช้งานในประเทศไทยติดอยู่ในอันดับที่ 3 จากผู้ใช้งานทั่วโลก [1] และคงหลีกเลี่ยงไม่ได้ว่าปัจจุบันการใช้งานแอพพลิเคชัน LINE ของคนไทยไม่ได้จำกัดเฉพาะในหมู่เพื่อนคุยกัน ดังจะเห็นจากหลายองค์กรนำมาใช้สำหรับสื่อสารองค์กร การทำงาน การแชร์รูปภาพ คลิปเสียง หรือแม้แต่บางครั้งใช้บอกพิกัดสถานที่ใช้งานกับคนสนิท ญาติพี่น้อง ครอบครัว แต่จะเป็นอย่างไรหากการใช้งานแอพพลิเคชันดังกล่าวสามารถถูกดักรับข้อมูลการสื่อสารระหว่างทางออกไปได้ทั้งหมด โดยที่ผู้ใช้งานไม่สามารถล่วงรู้เลยได้ เมื่อถึงเวลานั้นคงไม่มีใครการันตีได้ว่าข้อมูลดังกล่าวจะยังคงเป็นความลับอยู่อีกหรือไม่ รวมถึงข้อมูลที่หลุดออกไปนั้น หากเป็นข้อมูลที่มีความสำคัญก็อาจถูกนำไปหาผลประโยชน์ในทางที่ผิดต่อก็เป็นได้ และจากสถานการณ์ความนิยมของแอพพลิเคชัน LINE ทั่วโลก จึงทำให้มีนักวิจัยหลายรายเริ่มศึกษาวิจัยถึงการทำงานของแอพพลิเคชัน LINE อย่างละเอียด โดยพบหัวข้อข่าวช่วงเดือนสิงหาคมว่ามีนักวิจัยจากเว็บไซต์ Telecom asia เปิดเผยข้อมูลเกี่ยวกับการทำงานของแอพพลิเคชัน LINE ที่มีรับส่งข้อมูลของแอพพลิเคชันบนเครื่องผู้ใช้งานกับเซิร์ฟเวอร์ของผู้ให้บริการ LINE ในรูปแบบ Plain-text [2] กรณีที่ใช้งานอินเทอร์เน็ตบนเครือข่าย 2G/3G นั้น ทำให้เกิดคำถามเกี่ยวกับมาตรการในการรักษาความลับของผู้ใช้งานมากขึ้น อันเนื่องจากกรณีดังกล่าวผู้ให้บริการโทรศัพท์สามารถดักอ่านข้อมูลของผู้ใช้งานได้อย่างง่ายดาย แต่อย่างไรก็ตามกรณีดังกล่าวนั้น การที่จะมีผู้กระทำการดังกล่าวได้ ยังคงเป็นเรื่องที่จำกัดอยู่เฉพาะผู้ให้บริการโทรศัพท์มือถือเท่านั้นที่จะสามารถเห็นข้อมูล ซึ่งเป็นเรื่องที่ต้องพิจารณากันต่อไปถึงแนวทางการบริหารจัดการของผู้ให้บริการเครือข่ายโทรศัพท์มือถือเพื่อให้ผู้ใช้งานมีความเชื่อมั่นว่าข้อมูลจะไม่ถูกเปิดเผยหรือเข้าถึงโดยบุคคลที่ไม่ได้รับอนุญาต โดยในบทความนี้จะกล่าวถึงอีกมุมหนึ่งของบทวิเคราะห์ช่องโหว่บทแอพพลิเคชัน LINE ที่นักวิจัยของไทยเซิร์ตได้ตรวจสอบพบ และมีความคาดหวังจะให้ผู้อ่านได้รู้เท่าทันสถานการณ์ภัยคุกคามและอันตรายต่างๆที่มากับการใช้งานเทคโนโลยีในปัจจุบัน เพื่อให้ผู้ใช้งานสามารถใช้งานอย่างระมัดระวังและมีความปลอดภัยมากยิ่งขึ้นได้


วิเคราะห์การรับส่งข้อมูลของแอฟพลิเคชัน Line

นักวิจัยของไทยเซิร์ตได้ทำการวิเคราะห์การรับส่งข้อมูลของแอพพลิเคชัน LINE โดยจำลองสถานการณ์การรับส่งข้อมูลใน 2 ลักษณะคือรับส่งผ่านเครือข่าย 2G/3G และผ่านเครือข่าย LAN/WiFi และใช้โปรแกรมเฉพาะสำหรับดักรับข้อมูลบนเครือข่าย โดยได้นำข้อมูลทั้งหมดมาวิเคราะห์และสรุปผลดังนี้

ใช้งานบนเครือข่าย 2G/3G

ทดสอบโดยใช้งานแอฟพลิเคชัน LINE เวอร์ชัน 3.8.8 บนระบบปฏิบัติการณ์แอนดรอยด์ผ่านเครือข่าย 2G/3G พบว่ามีการรับส่งข้อมูลในลักษณะ Plain text ผ่านโพรโทคอล HTTP โดยข้อดีของการรับส่งข้อมูลบนโพรโทคอล HTTP คือสามารถรับส่งข้อมูลได้เร็ว แต่ข้อเสียคือหากมีผู้ที่สามารถดักรับข้อมูลตรงกลางระหว่างผู้ใช้งานกับเซิร์ฟเวอร์ให้บริการของ LINE แล้ว ก็จะสามารถมองเห็นข้อมูลที่รับส่งกันอยู่ระหว่างผู้ใช้งานกับเซิร์ฟเวอร์ของ LINE ได้ทันที สังเกตจากรูปที่ 2 ซึ่งเป็นข้อมูลที่ได้จากการทดสอบดักรับข้อมูลการใช้งานแอพพลิเคชัน LINE บนระบบปฏิบัติการแอนดรอยด์เวอร์ชั่น 3.8.8 ซึ่งใช้งานเครือข่าย 3G โดยพบข้อความว่า “where r u” ซึ่งเป็นข้อความที่นักวิจัยของไทยเซิร์ตได้ทำการทดสอบส่งออกไปจริง แต่อย่างไรก็ตามจากที่ได้กล่าวไว้ข้างต้นว่าข้อมูลที่รับส่งบนเครือข่าย 2G/3G อาจยังมีความเสี่ยงไม่มากนัก เนื่องจากเทคนิคการดักรับข้อมูลบนเครื่องข่าย 2G/3G โดยผู้ใช้งานด้วยกันยังไม่สามารถทำได้โดยง่าย แต่ก็ยังคงมีความเสี่ยงในมุมที่ผู้ให้บริการเครือข่ายโทรศัพท์อาจสามารถตรวจสอบการใช้งานของลูกค้าได้ รวมถึงปัจจุบันทางผู้พัฒนาแอฟพลิเคชัน LINE ได้มีการปรับปรุงการทำงานแอฟพลิเคชัน LINE ตั้งแต่เวอร์ชั่น 3.9 ขึ้นไป ที่ทำงานบนระบบปฏิบัติการแอนดรอยด์นั้น โดยเปลี่ยนมาใช้โพรโทคอล HTTPS ในการรับส่งข้อมูล ซึ่งมีการเข้ารหัสลับข้อมูลแทนการรับส่งข้อมูลแบบเดิมในลักษณะ Plain-text แล้ว ในส่วนนี้ทางไทยเซิร์ตขอแนะนำให้ผู้ใช้งานที่ใช้งานแอฟพลิเคชัน LINE บนระบบปฏิบัติการแอนดรอยด์ทำการตรวจสอบเวอร์ชันของแอฟพลิเคชันที่ใช้งานและหากพบว่าใช้เวอร์ชั่นต่ำกว่า 3.9 ให้รีบทำการอัพเดททันที


รูปที่ 1 แสดงโครงสร้างการทำงานของแอพพลิเคชัน LINE เวอร์ชั่นต่ำกว่า 3.9 ทำงานบนระบบปฏิบัติการแอนดรอยด์ เมื่อมีการเชื่อมต่อเครือข่าย 2G/3G


รูปที่ 2 แสดงตัวอย่างเมื่อมีการทดสอบดักรับข้อมูลบนโทรศัพท์มือถือที่ใช้ระบบปฏิบัติการแอนดรอยด์ และใช้แอพพลิเคชัน LINE เวอร์ชั่น 3.8.8 โดยพบว่าเมื่อมีการเชื่อมต่อเครือข่าย 3G ข้อมูลที่รับส่งในแอพพลิเคชัน LINE จะเป็นลักษณะ Plain text

ใช้งานบนเครือข่าย LAN/WiFi

ทดสอบโดยใช้งานแอพพลิเคชัน LINE บนระบบปฎิบัติการณ์ Windows ผ่านเครือข่าย LAN/WiFi พบว่ามีการทำางานในโหมดที่มีการเข้ารหัสลับข้อมูลก่อนมีการรับส่งกับเซิร์ฟเวอร์ของ LINE ผ่านโพรโทคอล HTTPS เพื่อป้องกันการดักรับและถอดรหัสข้อมูล เนื่องจากการใช้งานบนเครือข่าย LAN/WIFI มีความเสี่ยงสูงที่จะถูกผู้ไม่ประสงค์ดีพยายามดักรับข้อมูลได้โดยง่ายมากกว่าการใช้งานบนเครือข่าย 2G/3G จากรูปที่ 4 ไทยเซิร์ตตรวจสอบพบว่าข้อมูลที่ได้จากการดักรับข้อมูลนั้น ถูกเข้ารหัสลับและรับส่งด้วยโพรโทคอล HTTPS แสดงให้เห็นว่าข้อมูลที่รับส่งกับเซิร์ฟเวอร์ผู้ให้บริการ LINE นั้นไม่สามารถดักรับเพื่ออ่านข้อมูลได้โดยง่าย


รูปที่ 3 แสดงโครงสร้างการทำงานของแอพพลิเคชัน LINE เมื่อทำงานบนระบบเครือข่าย LAN/WiFi


รูปที่ 4 แสดงตัวอย่างเมื่อมีการทดสอบดักรับข้อมูลการใช้งานแอพพลิเคชัน LINE บนระบบปฏิบัติการ Windows โดยพบว่าเมื่อมีการเชื่อมต่อเครือข่าย WiFi ข้อมูลที่รับส่งมีการเข้ารหัสลับไว้ (Encrypted) และรับส่งผ่านโพรโทคอล HTTPS

อธิบายเพิ่มเติมเกี่ยวกับการทำงานของโพรโทคอล HTTPS

เพื่อให้เกิดความเข้าใจในเนื้อหาที่มากขึ้น จึงขออนุญาตอธิบายหลักการทำงานของโพรโทคอล HTTPS ในเบื้องต้น โดยการทำงานของโพรโทคอล HTTPS สามารถแบ่งออกเป็น 2 ส่วนประกอบหลักๆคือ การตรวจสอบใบรับรองอิเล็กทรอนิกส์ (Certificate) ของผู้ให้บริการ ดังจะเห็นจากตัวอย่างในรูปที่ 5 เป็นตัวอย่างการเข้าใช้งานเว็บไซต์ของธนาคารกสิกรไทย ที่มีการทำงานในโหมดเข้ารหัสลับข้อมูลและรับส่งผ่านโพรโทคอล HTTPS ซึ่งส่วนประกอบสำคัญในขั้นตอนการทำงานของ HTTPS คือข้อมูลใบรับรองอิเล็กทรอนิกส์ หรือที่เรียกว่า Certificate ซึ่งสามารถแสดงข้อมูลใบรับรองของเซิร์ฟเวอร์ที่เราเชื่อมต่ออยู่ได้


รูปที่ 5 แสดงตัวอย่างเว็บไซต์ที่ใช้งานโพรโทคอล HTTPS ซึ่งการเชื่อมต่อจะมีการรับข้อมูลใบรับรองอิเล็กทรอนิกส์ เพื่อให้แอพพลิเคชันฝั่งผู้ใช้งานพิจารณาความถูกต้องก่อนจะใช้งานต่อไป

และอีกส่วนประกอบสำคัญคือการเข้ารหัสลับข้อมูลที่มีการรับส่งอยู่กับเซิร์ฟเวอร์ที่ให้บริการปลายทาง รูปแบบคือจะมีกุญแจ ที่สำคัญ 2 ชนิด คือ

  • กุญแจเซสชั่น (Session key) เป็นกุญแจที่ใช้เข้ารหัสลับข้อมูลแบบ Symmetric Key ใช้กุญแจเพียงดอกเดียว นำมาใช้สำหรับเข้ารหัสลับและถอดรหัสลับข้อมูลที่รับส่งระหว่างแอฟพลิเคชันฝั่งผู้ใช้งานและเครื่องเซิร์ฟเวอร์
  • กุญแจคู่ เป็นกุญแจที่ใช้เข้ารหัสลับข้อมูลแบบ Asymmetric Key ประกอบไปด้วยกุญแจ 2 ส่วนคือกุญแจสาธารณะ (Public key) และกุญแจส่วนตัว (Private key) ของเครื่องเซิร์ฟเวอร์ที่ให้บริการ นำมาใช้เข้ารหัสลับและถอดรหัสลับกุญแจเซสชั่นในข้อที่ 1

โดยการทำงานของโพรโทคอล HTTPS สามารถสรุปเป็นขั้นตอนได้ตามรูปที่ 6


รูปที่ 6 ขั้นตอนการทำงานของโพรโทคอล HTTPS [3]

  • ขั้นตอนที่ 1 ผู้ใช้งานมีการเชื่อมต่อไปยังเซิร์ฟเวอร์ของผู้ให้บริการ เพื่อขอให้เริ่มการเชื่อมต่อด้วยโพรโทคอล HTTPS
  • ขั้นตอนที่ 2 เครื่องเซิร์ฟเวอร์ที่ให้บริการจะทำการส่งข้อมูลใบรับรองอิเล็กทรอนิกส์ (Certificate) ของผู้ให้บริการกลับมายังแอฟพลิเคชันในฝั่งผู้ใช้งานเพื่อตรวจสอบ หากเป็นใบรับรองอิเล็กทรอนิกส์ที่แอฟพลิเคชันนั้นเชื่อถือและรู้จักอยู่แล้วก็จะสามารถทำงานในลำดับถัดไปทันที แต่ถ้าในทางตรงกันข้าม ถ้าแอฟพลิเคชันไม่สามารถตรวจสอบใบรับรองอิเล็กทรอนิกส์ได้ว่ามีความน่าเชือถือหรือไม่ ก็จะขึ้นอยู่กับการบริหารจัดการของแอฟพลิเคชันนั้นๆว่าจะเป็นอย่างไรต่อไป เช่น แอฟพลิเคชันนั้นยอมให้ดำเนินการต่อได้ หรือ แอฟพลิเคชันนั้นสั่งยกเลิกการเชื่อมต่อ เป็นต้น
  • ขั้นตอนที่ 3 แอฟพลิเคชันในฝั่งผู้ใช้งานจะสร้างกุญแจเซสชั่น (Session key) ที่ใช้ในการเข้ารหัสลับและถอดรหัสลับข้อมูล จากนั้นทำการเข้ารหัสลับกุญแจเซสชั่นด้วยกุญแจสาธารณะ (Public key) ซึ่งเป็นข้อมูลที่ได้มาจากใบรับรองอิเล็กทรอนิกส์ในขั้นตอนที่ 2 จากนั้นแอฟพลิเคชันจะส่งข้อมูลที่เข้ารหัสลับกลับไปยังเครื่องเซิร์ฟเวอร์ที่ให้บริการ โดยเซิร์ฟเวอร์ที่ให้บริการจะทำการถอดรหัสลับข้อมูลด้วยกุญแจส่วนตัว (Private key) ผลลัพธ์สุดท้ายคือเครื่องเซิร์ฟเวอร์ให้บริการจะได้รับกุญแจเซสชัน (Session key) เพื่อนำมาใช้งานในขั้นตอนต่อไป
  • ขั้นตอนที่ 4 การรับส่งข้อมูลระหว่างผู้ใช้งานกับเซิร์ฟเวอร์ให้บริการจะทำผ่านการเข้ารหัสลับและถอดรหัสลับข้อมูลด้วยกุญแจเซสชั่นที่ได้จากขั้นตอนที่ 3 ตลอดเวลา เช่น ผู้ใช้งานส่งคำขอการเข้าถึงหน้าเว็บไซต์ ซึ่งเนื้อหาต่างๆที่ใช้ทำการเรียกไปยังเซิร์ฟเวอร์ที่ให้บริการเว็บไซต์นั้น จะถูกเข้ารหัสลับข้อมูลที่ฝั่งแอฟพลิเคชันของผู้ใช้งาน ด้วยกุญแจเซสชันที่สร้างขึ้นในขั้นตอนที่ 3 และข้อมูลดังกล่าวจะถูกถอดรหัสลับออกด้วยกุญแจเซสชันตัวเดิมในฝั่งเซิร์ฟเวอร์ที่ให้บริการเว็บไซต์ เช่นกัน


ไทยเซิร์ตพบช่องโหว่ของแอฟพลิเคชั่น LINE สามารถดักรับข้อมูลบนเครือข่าย LAN/WiFi

ในช่วงต้นเดือนพฤศจิกายนปี 2556 นักวิจัยจากไทยเซิร์ตพบช่องโหว่ของแอพพลิเคชัน LINE บนระบบปฏิบัติการณ์ Windows (ยกเว้น Windows 8) และ Mac OS ซึ่งจากการวิเคราะห์ข้อมูล พบว่าข้อมูลการสนทนาสามารถถูกดักรับในขณะที่ผู้ใช้งานกำลังใช้งานแอพพลิเคชัน LINE อยู่บนเครือข่าย LAN/WiFI ถึงแม้จะมีการเข้ารหัสลับข้อมูลด้วยโพรโทคอล HTTPS แล้วก็ตาม แต่จากการวิเคราะห์ข้อมูลการโจมตีในเบื้องต้น ผลลัพธ์จากการทดสอบพบว่านักวิจัยจากไทยเซิร์ตสามารถโจมตีผู้ใช้งานที่กำลังใช้งานแอพพลิเคชัน LINE ได้ทันที โดยใช้เทคนิค Man in the middle (MITM) [4] เพื่อดักรับและถอดรหัสลับข้อมูลของผู้ใช้งานที่ตกเป็นเหยื่อ ให้ออกมาอยู่ในรูปแบบ Plain-text อย่างง่ายดาย โดยตัวอย่างผลลัพธ์ในรูปที่ 7 แสดงให้เห็นว่าการโจมตีที่เกิดขึ้นทำให้นักวิจัยของไทยเซิร์ตสามารถดักรับข้อความที่ถูกส่งออกจากผู้ใช้งานคนหนึ่งและถูกแสดงผลออกมาได้ในลักษณะ Plain-text รวมถึงการทดสอบเพิ่มเติมยังพบว่าผู้ไม่ประสงค์ดีสามารถทำการเปลี่ยนแปลงข้อมูลของผู้ใช้งานที่มีการรับส่งกับเซิร์ฟเวอร์ของ LINE ได้อีกด้วย แสดงให้เห็นว่าเมื่อผู้ใช้งานถูกโจมตีจากช่องโหว่ดังกล่าวแล้วอาจทำให้ข้อความที่ส่งออกมาถูกดักรับและแก้ไขก่อนส่งไปยังผู้รับได้ รวมถึงผู้ไม่ประสงค์ดีสามารถสร้างข้อความใหม่และส่งออกไปโดยใช้ชื่อผู้ส่งได้ทันที โดยที่ผู้ใช้งานอาจไม่รู้ถึงการส่งข้อความดังกล่าว อย่างไรก็ตามไทยเซิร์ตได้ทดสอบกับแอฟพลิเคชัน LINE ที่ทำงานบนระบบปฏิบัติการแอนดรอยด์ iOS Windows Phone 8 และ Line for Windows 8 แล้ว ไม่พบว่ามีปัญหาช่องโหว่ในรูปแบบดังกล่าว


รูปที่ 7 แสดงการจำลองสถานการณ์การดักรับข้อมูลและถอดรหัสลับขณะที่ผู้ใช้งานแอพพลิเคชัน LINE บนระบบปฏิบัติการ Windows เมื่อมีการส่งข้อความ


รูปที่ 8 แสดงการจำลองสถานการณ์การดักรับข้อมูลและถอดรหัสลับขณะที่ผู้ใช้งานแอพพลิเคชัน LINE บนระบบปฏิบัติการ Windows เมื่อได้รับข้อความ

จากรูปที่ 7 และ 8 แสดงให้เห็นว่า การโจมตีช่องโหว่ดังกล่าวทำให้ผู้ไม่ประสงค์ดีสามารถถอดรหัสลับข้อมูลที่มีการรับส่งกับเซิร์ฟเวอร์ผู้ให้บริการ LINE ทำให้ผู้ไม่ประสงค์ดีสามารถอ่านข้อความที่มีการรับส่งในลักษณะ Plain-text ได้ทันที และจากการตรวจสอบเนื้อหาขณะที่มีการส่งข้อความจะพบว่า มีลักษณะของการส่งคำสั่งโดยเป็นข้อความว่า sendMessage และตามด้วยค่าที่ถูกสุ่มขึ้นจำนวน 2 กลุ่ม ซึ่งมีความเป็นไปได้สูงว่าจะเป็นข้อมูล UserID ของผู้ใช้งานในฝั่งผู้รับและผู้ส่ง และจากการทดสอบในหลายครั้งจะพบว่าค่า UserID เป็นค่าคงที่ ซึ่งไม่มีการเปลี่ยนแปลง นั่นเท่ากับว่าผู้ที่สามารถเข้าถึงข้อมูล UserID ของผู้ใช้งานได้แล้วนั้น อาจเก็บค่า UserID ดังกล่าวเพื่อมาใช้โจมตีต่อในภายหลังได้


วิเคราะห์การโจมตีช่องโหว่ของแอพพลิเคชัน LINE บนเครือข่าย LAN/WiFi

สถานการณ์จำลองการโจมตี

  • ผู้ใช้งานเปิดใช้งานแอฟพลิเคชัน Line ผ่านเครือข่าย WiFi สำนักงาน
  • ผู้ไม่ประสงค์ดีเชื่อมต่อเครือข่ายสำนักงานด้วยเช่นกัน และเริ่มการโจมตีด้วยเทคนิค Man in the middle รวมถึงมีการปลอมแปลงใบรับรองอิเล็กทรอนิกส์ (Fake Certificate) ของโดเมนเนของผู้ให้บริการ Line ในระหว่างที่มีการเชื่อมต่อกับผู้ใช้งาน
  • แอฟพลิเคชัน Line ยอมรับใบรับรองอิเล็กทรอนิกส์ปลอมที่ผู้ไม่ประสงค์ดีส่งให้ในขั้นตอนที่ 2 เป็นผลให้การทำงาน ที่ผิดพลาดยังคงดำเนินการต่อไปได้ และทำให้ผู้ไม่ประสงค์ดีสามารถดักรับข้อมูลของผู้ใช้งาน และเลือกกรองเฉพาะข้อมูลที่เกี่ยวข้องกับการใช้งานแอฟพลิเคชัน Line จากนั้นทำการถอดรหัสลับข้อมูลเพื่อดูบทสทนาหรือข้อความที่รับส่งของผู้ใช้งานในลักษณะ Plain text ได้ทันที



รูปที่ 9 แสดงแผนผังสถานการณ์จำลองการโจมตี

จากรูปที่ 9 และสถานการณ์จำลองการโจมตีจะสังเกตได้ว่า ผู้ไม่ประสงค์ดีสามารถโจมตีเครือข่าย LAN/WiFi เพื่อเปลี่ยนเส้นทางการใช้งานของเครื่องผู้ใช้งานที่เป็นเหยื่อให้มาใช้เส้นทางการรับส่งข้อมูลโดยข้อมูลจะไหลผ่านเครื่องคอมพิวเตอร์ของผู้ไม่ประสงค์ดี ซึ่งในเทคนิคการขโมยข้อมูลที่เชื่อมต่อกันด้วยโพรโทคอล HTTPS นั้น ผู้ไม่ประสงค์ดีจะใช้เทคนิคการปลอมแปลงข้อมูลใบรับรองอิเล็กทรอนิกส์ (Fake Certificate) และส่งให้กับแอพพลิเคชันของผู้ใช้งาน ซึ่งช่องโหว่หรือปัญหาที่พบคือ แอพพลิเคชัน LINE ไม่มีการตรวจสอบความถูกต้องของใบรับรอง ทำให้แอพพลิเคชันทำงานต่อไปได้ ส่งผลให้ผู้ไม่ประสงค์ดีสามารถโจมตีด้วยเทคนิค Man in the middle และถอดรหัสลับข้อมูลการสนทนาได้ทันที

ผลกระทบ

ผู้ใช้งานอินเทอร์เน็ตสาธารณะหรือใช้งานในองค์กรที่มีการเชื่อมต่อกันผ่าน LAN หรือ WiFi อาจถูกโจมตีด้วยเทคนิค Man in the middle เพื่อดักรับข้อมูลการใช้งานของแอฟพลิเคชัน Line และสามารถถอดรหัสลับข้อมูลออกมาเพื่อเข้าถึงข้อมูลบทสนานาที่เกี่ยวข้องได้ทันที เช่น ข้อมูล UserID ของผู้ใช้งาน การรับส่งข้อความบทสนทนา รวมถึงสามารถส่งคำสั่งปลอมแปลงไปยังเซิร์ฟเวอร์ของ Line ในลักษณะสวมรอยการใช้งาน เป็นต้น

ระบบที่ได้รับผลกระทบ

  • แอฟพลิเคชัน Line บนระบบปฏิบัติการณ์ Windows เวอร์ชั่น 3.2.1.83 และต่ำกว่า
  • แอฟพลิเคชัน Line บนระบบปฏิบัติการณ์ Mac OS เวอร์ชั่น 3.2.1 และต่ำกว่า

ผู้ใช้งานอินเทอร์เน็ตสาธารณะหรือใช้งานในองค์กรที่มีการเชื่อมต่อกันผ่าน LAN หรือ WiFi อาจถูกโจมตีด้วยเทคนิค Man in the middle เพื่อดักรับข้อมูลการใช้งานของแอพพลิเคชัน LINE และสามารถถอดรหัสลับข้อมูลออกมาเพื่อเข้าถึงข้อมูลบทสนานาที่เกี่ยวข้องได้ทันที เช่น ข้อมูล UserID ของผู้ใช้งาน การรับส่งข้อความบทสนทนา รวมถึงสามารถส่งคำสั่งปลอมแปลงไปยังเซิร์ฟเวอร์ของ LINE ในลักษณะสวมรอยการใช้งาน เป็นต้น


รูปที่ 10 แสดงรายการระบบปฏิบัติการณ์ที่รองรับการทำงานของแอพพลิเคชัน Line พบว่าแอพพลิเคชัน LINE ที่ทำงานบน Windows กับ MAC OS X เท่านั้นที่มีช่องโหว่


รูปที่ 11 แสดงเวอร์ชันชองแอพพลิเคชัน LINE ที่มีช่องโหว่ซึ่งสามารถถูกโจมตีได้


การดำเนินการของไทยเซิร์ตและข้อแนะนำสำหรับผู้ใช้งาน

ภายหลังจากการตรวจพบช่องโหว่บนแอพพลิเคชัน LINE ไทยเซิร์ตได้ทำการประสานเพื่อแจ้งปัญหาช่องโหว่ไปยังผู้พัฒนาแอพพลิเคชัน LINE ในประเทศญี่ปุ่นโดยเร่งด่วน ซึ่งทีมผู้พัฒนาแอพพลิเคชัน LINE ได้มีการรับทราบและตรวจสอบปัญหาดังกล่าว โดยปัจจุบันทางทีมผู้พัฒนาได้ดำเนินการแก้ไขปัญหาช่องโหว่ดังกล่าวและเผยแพร่เวอร์ชันของ LINE ที่แก้ไขปัญหาเป็นที่เรียบร้อย รวมถึงไทยเซิร์ตได้ทำการขึ้นทะเบียนช่องโหว่ดังกล่าวในฐานข้อมูลช่องโหว่ด้วยหมายเลข CVE-2013-7144 แต่อย่างไรก็ผู้ใช้งานจำเป็นต้องมีการอัพเดทแอพพลิเคชันของตนเอง ซึ่งโดยปกติแล้วแอพพลิเคชัน LINE จะมีการตั้งค่ามาตรฐานให้มีการแจ้งเตือนเมื่อมีการเผยแพร่เวอร์ชันใหม่ออกมา เมื่อผู้ใช้งานพบการแจ้งเตือนดังตัวอย่างในรูปที่ 11 ให้ผู้ใช้งานรีบทำการอัพเดทแอพพลิเคชัน LINE ทันที หรือหากผู้ใช้งานท่านใดไม่แน่ใจว่าใช้งานแอพพลิเคชัน LINE เวอร์ชันที่มีผลกระทบหรือไม่ ให้ดำเนินการตรวจสอบเวอร์ชั่นของแอพพลิเคชัน LINE ที่ใช้งานอยู่โดยการคลิกที่เมนู “About LINE” ตามรูปที่ 13 หากผู้ใช้งานพบว่าใช้งานแอพพลิเคชัน LINE ที่ได้รับผลกระทบ (ตรวจสอบจากหัวข้อ “ระบบที่ได้รับผลกระทบ”) ให้รีบอัพเดทแอพพลิเคชันตามข้อมูลดังต่อไปนี้ทันที

  • อัพเดทแอพพลิเคชัน LINE บนระบบปฏิบัติการณ์ Windows เป็นเวอร์ชั่นที่สูงกว่า 3.2.1.83
  • อัพเดทแอพพลิเคชัน LINE บนระบบปฏิบัติการณ์ Mac OS เป็นเวอร์ชั่นที่สูงกว่า 3.2.1
อย่างไรก็ตามผู้ใช้งานควรมีการอัพเดทแอพพลิเคชันอย่างสม่ำเสมอ และควรมีการติดตามข่าวสารด้านความมั่นคงปลอดภัยจากแหล่งข่าวที่น่าเชื่อถืออยู่เป็นประจำอีกด้วย

รูปที่ 12 แสดงเวอร์ชันชองแอพพลิเคชัน LINE ที่มีช่องโหว่ซึ่งสามารถถูกโจมตีได้


รูปที่ 13 แสดงหน้าต่างภายหลังจากกด OK จะพบหน้าต่างแจ้งข้อมูลรายละเอียดการอัพเดท


รูปที่ 14 แสดงวิธีการตรวจสอบเวอร์ชั่นของแอพพลิเคชัน LINE บนระบบปฏิบัติการณ์ Windows


อ้างอิง

  1. http://en.lineblog.naver.jp/archives/30767259.html
  2. http://www.telecomasia.net/blog/content/line-vulnerable-man-middle-attack?Don%20Sambandaraksa
  3. http://www.awghost.com/ssl.html
  4. https://www.thaicert.or.th/papers/general/2011/pa2011ge001.html
Clear