เมื่อต้นปี 2019 เราเห็นข่าว Google Play ห้ามแอพที่ขอสิทธิเข้าถึงบันทึกการโทรและ SMS โดยไม่จำเป็น โดยให้เหตุผลเรื่องความปลอดภัยและความเป็นส่วนตัว แต่ก็สร้างเสียงวิจารณ์ไม่น้อย
เวลาผ่านมาครบปี กูเกิลสรุปตัวเลขให้เห็นชัดๆ ว่าแอพที่ขอสิทธิการใช้งาน SMS และการโทร (call data) มีจำนวนลดลงถึง 98% โดย 2% ที่เหลือคือแอพที่ยังจำเป็นต้องใช้งานสิทธิเหล่านี้จริงๆ
กูเกิลยังให้ข้อมูลด้านความปลอดภัยอื่นๆ ของ Google Play ในปี 2019 ดังนี้
ทีมวิจัยจากมหาวิทยาลัยพรินซ์ตันเปิดเผยร่างรายงานวิจัยทดสอบความปลอดภัยของกระบวนการออกซิมโทรศัพท์มือถือใหม่ในสหรัฐฯ โดยทดสอบกับค่ายใหญ่ 3 ค่าย คือ T-Mobile, AT&T, และ Verizon และ MVNO อีก 2 ค่าย คือ Tracfone และ US Mobile พบว่าทั้งหมดล้วนไม่ปลอดภัยเพียงพอ
งานวิจัยใช้เบอร์โทรศัพท์ที่ทีมงานซื้อมาด้วยตัวเอง โดยสร้างตัวตนผู้ใช้ขึ้นมา 10 รายชื่อ สำหรับหมายเลขโทรศัพท์ 10 หมายเลข ระบุข้อมูล เช่น วันเกิด, ที่อยู่, อีเมล จากนั้นซื้อโทรศัพท์ 10 เครื่องจำลองเป็นเครื่องของเหยื่อ และอีก 10 เครื่องจำลองเป็นเครื่องของผู้โจมตี โดยไม่มีการใช้โทรศัพท์ซ้ำกันเลย โดยเครื่องของเหยื่อนั้นจะโทรเข้าออกเป็นระยะเวลาหนึ่งสัปดาห์เพื่อให้เหมือนหมายเลขที่มีการใช้งานจริง
SRLabs บริษัทวิจัยความปลอดภัยเครือข่ายโทรศัพท์มือถือที่เคยรายงานช่องโหว่ของ SMS มาตลอด แต่หลังจากมีกูเกิลผลักดันโปรโตคอล RCS ทาง SRLabs ก็พบว่าสภาพโดยรวมยังไม่ดีขึ้น โดยความปลอดภัยรวมพอๆ กับโปรโตคอลยุค 2G และโปรโตคอล SS7
วันนี้ สี่ค่ายมือถือขนาดใหญ่ของสหรัฐฯ คือ AT&T, Verizon, T-Mobile และ Spring ประกาศร่วมมือกันตั้งบริษัทร่วม Cross-Carrier Messaging Initiative (CCMI) เพื่อทำให้ค่ายโทรศัพท์เดินหน้านำเทคโนโลยีใหม่มาทดแทน SMS ในปัจจุบัน
เป้าหมายของ CCMI นี้คือการนำเทคโนโลยีส่งข้อความ RCS ซึ่งปัจจุบันมี Google เป็นผู้ผลักดันหลักมาใช้ในสมาร์ทโฟนภายในปี 2020
เมื่อกลางเดือนกันยายนที่ผ่านมา AdaptiveMobile Security บริษัทวิจัยความปลอดภัยไซเบอร์รายงานถึงช่องโหว่ซอฟต์แวร์ในตัวซิมโทรศัพท์ ที่เปิดทางให้แฮกเกอร์ส่ง SMS เข้าไปรันโค้ดบนซิม ควบคุมการทำงาน เช่น การรายงานตำแหน่งโทรศัพท์ หรือการส่ง SMS แทนคนร้าย ล่าสุด Ginno Security Lab ก็แจ้งมายังเว็บไซต์ Hacker News ระบุว่านักวิจัยได้พบช่องโหว่แบบเดียวกันนี้บนซอฟต์แวร์อีกตัว คือ Wireless Internet Browser (WIB) ที่มีผู้ใช้นับร้อยล้านซิม
Google Voice มีบริการแปลงข้อความเสียงเป็นข้อความตัวอักษร แต่เพราะเป็นระบบอัตโนมัติจึงแปลงข้อความ robocall และส่ง SMS มาด้วย ทำให้เครือข่ายโทรศัพท์บล็อคข้อความเนื่องจากมองว่าเป็นสแปม
ล่าสุด Google ประกาศยยกเลิกฟีเจอร์แปลงข้อความเสียงเป็นข้อความตัวอักษรบน Google Voice แล้ว โดยมีกำหนดวันที่ 9 สิงหาคมนี้
ธนาคารของเยอรมนีหลายราย ประกาศแผนการเลิกใช้ระบบยืนยันตัวตนแบบ OTP ผ่าน SMS เนื่องจากเป็นวิธีการยืนยันตัวตนที่ "ไม่ปลอดภัย" ซะแล้ว
การขยับตัวของธนาคารในเยอรมนี เป็นผลมาจากกฎหมาย Payment Services Directive (PSD) ของสหภาพยุโรปที่ออกในปี 2015 และมีผลบังคับใช้ในวันที่ 14 กันยายนปีนี้ ซึ่งกฎหมายระบุว่าธนาคารต้องใช้วิธีการยืนยันตัวตนที่ผ่านมาตรฐาน strong customer authentication (SCA) ที่แข็งแกร่งเพียงพอ
ตัวอย่างวิธีการยืนยันตัวตนที่ผ่านมาตรฐาน SCA คือ การใช้รหัสผ่าน, PIN, passphrase, การตอบคำถามที่อิงกับความรู้, การลากนิ้วเป็นเส้น
ส่วนวิธีการยืนยันตัวตนที่ไม่ผ่านมาตรฐานคือ การใช้ user name, email address, ข้อมูลบนบัตรเครดิต/เดบิต และการใช้รหัส OTP ที่ส่งผ่าน SMS
Facebook ได้ปล่อยเครื่องมือสำหรับนักพัฒนาชุดใหม่ของ WhatsApp แล้ว โดยมีฟีเจอร์ที่น่าสนใจรอบนี้คือการเปิดให้ WhatsApp ใช้เป็นเครื่องมือรับรหัสยืนยันตัวตน เป็นทางเลือกเพิ่มเติมจากการส่งผ่าน SMS
SDK ชุดใหม่ของ WhatsApp นี้ เป็นส่วนหนึ่งของ Account Kit สามารถนำใส่เข้าไปกับแอปบน iOS หรือ Android ได้ โดยนักพัฒนาจะรับเบอร์โทรศัพท์ และให้ผู้ใช้เลือกได้ว่าจะรับโค้ดยืนยันตัวตนผ่านทาง WhatsApp หรือ SMS หรือจะบังคับให้รับโค้ดจาก WhatsApp อย่างเดียวเลยก็ได้ โดย web SDK ของ WhatsApp มีฟีเจอร์นี้มาตั้งแต่ปลายปีที่แล้ว และเพิ่งจะปล่อยลงแอปมือถือตอนนี้
ช่องโหว่ในโปรโตคอล Signalling System No. 7 (SS7) ที่ใช้ดัก SMS มีรายงานและการสาธิตกันมาหลายปีและหลายครั้งแล้ว โดยถึงแม้ข่าวการโจมตีผ่านทาง SS7 อาจจะดูเงียบๆ แต่เว็บไซต์ Motherboard ก็ออกรายงานระบุว่ามีแฮกเกอร์ใช้วิธีนี้เยอะกว่าที่คิด และหลายธนาคารก็ตกเป็นเหยื่อแล้ว
ศูนย์ความมั่นคงปลอดภัยไซเบอร์สหราชอาณาจักร (National Cyber Security Centre - NCSC) ยืนยันว่ามีเหตุการแฮกบัญชีธนาคารด้วยการดักรับ SMS ที่ใช้ส่งรหัสสำหรับการล็อกอินสองขั้นตอนจริง โดยไม่ได้ระบุมีคดีมากน้อยเพียงใด แต่ก็ยืนยันว่าการใช้การล็อกอินสองขั้นตอนด้วย SMS ยังดีกว่าการล็อกอินด้วยรหัสผ่านอย่างเดียวมาก
G Suite ประกาศเตรียมยกเลิกฟีเจอร์เก่าแก่หนึ่งของ Google Calendar นั่นคือการแจ้งเตือนนัดหมายผ่าน SMS โดยคุณสมบัติดังกล่าวจะถูกนำออกไป มีผลกับผู้ใช้ G Suite ทุกคนตั้งแต่ 7 มกราคม 2019 เป็นต้นไป
กูเกิลแนะนำผู้ใช้ที่เดิมสะดวกรับการแจ้งเตือนผ่าน SMS ว่าให้เปลี่ยนมารับการแจ้งเตือนผ่านหน้าเว็บเบราว์เซอร์ หรือผ่านแอป Google Calendar ในมือถือ รวมทั้ง Google Calendar ยังส่งการแจ้งเตือนนัดหมายผ่านอีเมลอยู่แล้วด้วย
Google Calendar ยกเลิกคุณสมบัติ SMS สำหรับผู้ใช้ทั่วไปตั้งแต่ปี 2015 เนื่องจากความนิยมในสมาร์ทโฟนที่มากขึ้น แต่ยังเก็บไว้สำหรับผู้ใช้งานแบบเสียเงินมาจนถึงเดือนมกราคมปีหน้านั่นเอง
บริษัท Voxox ผู้ให้บริการสื่อสารที่มีสำนักงานอยู่ในรัฐแคลิฟอร์เนียถูกค้นพบว่าไม่ได้ล็อกรหัสผ่านเซิร์ฟเวอร์ฐานข้อมูลไว้ เปิดให้ใครก็ได้เข้าใช้งานและเก็บข้อความ SMS ได้ทันทีในระดับเกือบเรียลไทม์
Sébastien Kaul นักวิจัยความปลอดภัยระบุว่า เขาพบเซิร์ฟเวอร์นี้จาก Shodan เสิร์ชเอนจินที่ค้นหาฐานข้อมูลและอุปกรณ์ที่เข้าถึงได้จากสาธารณะ และเซิร์ฟเวอร์นี้ถูกผูกเข้ากับซับโดเมนของ Voxox ด้วย
หลายคนคงเคยเจอปัญหาเข้าเว็บไซต์บางแห่ง และถูกหลอกให้กรอกเบอร์มือถือ เพื่อสมัครบริการ SMS เสียเงินโดยไม่รู้ตัว แถมยังไม่สามารถพึ่งพาโอเปอเรเตอร์ให้แก้ปัญหานี้ให้เราได้มากนัก
กูเกิลจะช่วยแก้ปัญหานี้ใน Chrome เวอร์ชัน 71 โดย Chrome จะสแกนว่าหน้าเว็บนั้นๆ มีการให้ข้อมูลเรื่องค่าใช้จ่ายต่อผู้ใช้อย่างชัดเจนหรือไม่ หาก Chrome พิจารณาว่าเว็บไซต์นั้นพยายามหลอกให้ผู้ใช้เสียเงิน ก็จะบล็อคการแสดงผลเว็บนั้น ลักษณะเดียวกับเว็บไซต์ประสงค์ร้ายอื่นๆ
การแจ้งเตือนจะมีผลทั้งบนเดสก์ท็อป บนมือถือ และ Android WebView
ที่มา - Chromium Blog
กูเกิลเปิดตัวเว็บแอพ Android Messages ที่ใช้งานได้ผ่าน messages.android.com
ผู้ใช้ต้องติดตั้งแอพ Android Messages บนมือถือก่อน จากนั้นสแกน QR Code เพื่อเปิดใช้งานบนเว็บ ข้อความทั้งหมดจะถูกซิงก์จากมือถือมายังเวอร์ชันเว็บด้วย
นอกจากนี้ กูเกิลยังเพิ่มฟีเจอร์ใหม่ๆ ให้ Android Messages อย่างการส่งไฟล์ GIF, ฟีเจอร์ Smart Reply แบบเดียวกับ Gmail, พรีวิวลิงก์ที่ส่งผ่านแชท และฟีเจอร์แตะครั้งเดียวเพื่อก๊อปปี้ OTP จาก SMS ไปใช้ในแอพอื่นอีกทีหนึ่ง
ปัญหา SMS กินเงินเป็นปัญหาที่ผู้ใช้จำนวนมากเจอกัน (ผมเองเคยเจอกับตัวเมื่อปีที่แล้ว) ตอนนี้ทาง dtac ก็ออกมาตรการเพิ่มเติม
มาตรการในตอนนี้ได้แก่
3 ธันวาคม เมื่อ 25 ปีที่แล้ว Neil Papworth วิศวกรส่ง SMS เป็นครั้งแรกในโลกด้วยข้อความว่า "merry Christmas" ส่งจากคอมพิวเตอร์ไปยังโทรศัพท์มือถือของ Richard Jarvis ผู้จัดการ Vodafone ผ่านมา 25 ปี วิวัฒนาการการส่งข้อความเปลี่ยนไปมากทีเดียว
กูเกิล ปรับวิธีการยืนยันตัวตนแบบสองปัจจัย (2-Step Verification) จากเดิมที่ใช้ค่าดีฟอลต์เป็นการส่งโค้ดผ่าน SMS เปลี่ยนมาเป็นการยืนยันด้วยแอพบนมือถือแทน
ตอนนี้หลายคนที่ล็อกอินบัญชี Google Account น่าจะเคยเจอกับหน้าจอ Google Prompt บนมือถือ ที่ถามยืนยันเราว่าล็อกอินจากอุปกรณ์อื่นหรือไม่ ฟีเจอร์นี้เปิดใช้งานมาสักระยะหนึ่งแล้ว แต่เพิ่งกลายเป็นตัวเลือกหลัก (primary method) แทน SMS
ผู้ที่อยากใช้การยืนยันตัวตนด้วย SMS หรือกรอกโค้ดผ่าน Google Authenticator ยังใช้งานได้เหมือนเดิม ในข่าวนี้เปลี่ยนแค่ค่าดีฟอลต์สำหรับผู้ใช้ที่เพิ่งเปิดใช้ 2-Step Verification เท่านั้น ส่วนคนที่ใช้ 2-Step Verification อยู่แล้วก็จะใช้ค่าเดิมที่ตั้งไว้
Dmitry Kurbatov หัวหน้าฝ่ายความปลอดภัยการสื่อสารของ Positive Technologies ออกมาสาธิตการขโมยเงินในบัญชี Coinbase ด้วยการดักรับ SMS จากเครือข่าย SS7 แสดงให้เห็นว่าสุดท้ายแล้วบริการกระเป๋าเงินบิตคอยน์อย่าง Coinbase ก็ไปขึ้นกับ SMS ในท้ายที่สุด เมื่อแฮกเกอร์สามารถขโมย SMS ได้ก็จะสามารถขโมยบัญชีทีละอย่างจนได้เงินในกระเป๋าเงินไป
4 โอเปอเรเตอร์ใหญ่ของสหรัฐอเมริกาได้แก่ AT&T, Verizon, T-Mobile, Sprint ประกาศตั้งกลุ่ม Mobile Authentication Taskforce เพื่อวางมาตรฐานการยืนยันตัวตนผ่านอุปกรณ์พกพา
เป้าหมายของกลุ่มคือพัฒนาระบบยืนยันตัวตนด้วยอุปกรณ์พกพาที่ใช้แทน SMS (ซึ่ง NIST หน่วยงานด้านมาตรฐานอุตสาหกรรมของสหรัฐ แนะนำให้เลิกใช้) โดยแนวทางที่จะนำมาใช้แทนมีทั้งการตรวจสอบซิมการ์ด, พิกัดเครื่อง, การเชื่อมต่อกับโครงข่าย
ตอนนี้ทางกลุ่มยังไม่มีผลงานออกมา (เพิ่งประกาศตั้งกลุ่ม) โดยตั้งเป้าว่าจะออกผลงานในปี 2018
หลังจากแอพ Hangouts ถูกแยกร่างและผนวกเข้า G Suite ไปนั้น ล่าสุดผู้ใช้ Hangouts ที่ใช้เป็นแอพรับส่ง SMS เป็นหลัก จะได้รับข้อความแจ้งเตือนว่าแอพจะหยุดรองรับการใช้งาน SMS ในวันที่ 22 พฤษภาคมนี้
หากเข้าแอพ Hangouts ในช่วงนี้เป็นต้นไป แอพจะแจ้งเตือนเรื่องนี้ที่หน้าแรกด้านบน โดยในข้อความแจ้งเตือน Google ได้แนะนำให้เลือกแอพ SMS อื่นเป็นหลักแทน และถ้าไม่ได้เลือกก่อนวันที่ 22 พฤษภาคม ก็จะเลือกแอพ SMS ในเครื่องให้เอง
ส่วนผู้ใช้ Google Voice และ Project Fi ยังสามารถใช้งานได้ตามปกติเนื่องจากยังมีปริมาณผู้ใช้งานอยู่ต่อเนื่อง
กสทช. ได้ประกาศว่าผู้ใช้โทรศัพท์มือถือทุกเครือข่ายสามารถกดเบอร์ *137 เพื่อยกเลิก sms โฆษณาต่างๆ ได้ โดยมีตัวเลือกให้เลือก 3 ข้อคือยกเลิกโฆษณาประชาสัมพันธ์ทุกชนิด, ยกเลิกโฆษณาที่เก็บเงิน และยกเลิกทั้ง 2 แบบ
สำหรับเครือข่าย AIS, dtac, True จะเป็นระบบอัตโนมัติ ขณะที่ CAT จะมีเจ้าหน้าที่คอลเซ็นเซอร์รับสาย ส่วนเครือข่าย TOT3G ให้พิมพ์ชื่อผู้ส่งที่ไม่ต้องการรับ SMS เว้นวรรคตามด้วย b และส่งไปที่ 1777 ฟรี
ที่มา - ประชาชาติธุรกิจ
NIST หน่วยงานออกมาตรฐานอุตสาหกรรมที่เป็นผู้ออกมาตรฐานการเข้ารหัสจำนวนมากในทุกวันนี้ เปิดรับฟังความเห็นร่างเอกสาร NIST SP 800-63B มาตรฐานการยืนยันตัวตนดิจิตอลเวอร์ชั่นใหม่ เพื่อรับฟังความเห็นจากสาธารณะ
เอกสารนี้กำหนดมาตรฐานกระบวนการยืนยันตัวตนให้ปลอดภัย ตั้งแต่กระบวนการเบื้องต้นเช่นการจำกัดจำนวนครั้งที่การยืนยันตัวตนล้มเหลว, การใช้งานการยืนยันตัวตนหลายขั้นตอน แต่ความเปลี่ยนแปลงที่สำคัญคือการเตรียมยกเลิกการยืนยันตัวตนด้วย SMS
การยืนยันตัวตนด้วย SMS ยังคงยอมรับได้ในร่างเอกสาร แต่ประกาศสถานะเป็น deprecated และจะไม่รวมอยู่ในเอกสารนี้เวอร์ชั่นต่อไป
SMSToControl เป็นแอพที่ทำให้คุณสามารถควบคุมเครื่องของคุณจากระยะไกลโดยการส่งข้อความ SMS ให้ตรงกับคีย์เวิร์ดที่ตั้งเอาไว้
ขณะนี้มี 4 ฟังก์ชั่นให้ใช้งาน คือ
ฟังก์ชั่นทั้งหมดนี้ทำงานได้โดยไม่ต้องใช้อินเทอร์เน็ต เพราะฉะนั้นถ้าเกิดคุณทำเครื่องของคุณหายโดยไม่ได้ต่ออินเทอร์เน็ตเอาไว้ คุณก็สามารถใช้แอพนี้ช่วยหาหรือป้องกันข้อมูลในเครื่องของคุณได้
Screenshot หน้าตาภายในแอพ
หลายครั้งที่เราอาจจะเชื่อว่าการแจ้งเตือนผู้ป่วยผ่านทาง SMS นั้นอาจจะเป็นตัวเลือกที่ดีทางหนึ่ง ซึ่งทำให้ผู้ป่วยมาพบแพทย์หรือรับการรักษาตรงเวลา แต่งานวิจัยชิ้นล่าสุดจาก Sydney Sexual Health Centre ที่ตีพิมพ์ในวารสาร Journal of the American Medical Informatics Association (JAMIA) เปิดเผยว่าอาจจะไม่เป็นเช่นนั้นเสมอไป ในกรณีของผู้ป่วยที่ต้องเข้ามารับวัคซีนป้องกันโรคไวรัสตับอักเสบชนิดบี
ปีที่แล้วเราเห็นข่าว กูเกิลซื้อ Jibe Mobile เพื่อผลักดันการส่งข้อความแบบ RCS บน Android ล่าสุดสมาคม GSMA พร้อมโอเปอเรเตอร์รายใหญ่ทั่วโลก ประกาศความร่วมมือกับกูเกิลเพื่อผลักดัน RCS เต็มตัว
Rich Communication Services (RCS) เป็นมาตรฐานการส่งข้อความแบบใหม่ที่มาแทน SMS โดยมีฟีเจอร์สมัยใหม่อย่างแชทกลุ่ม วิดีโอคอลล์ แชร์ไฟล์ ฯลฯ ความแตกต่างของ RCS กับแอพแชทในปัจจุบันคือ RCS สามารถคุยได้ข้ามโอเปอเรเตอร์-ข้ามค่าย (ถ้าหากโอเปอเรเตอร์รองรับ)
SMS อาจถือเป็นเทคโนโลยีการสื่อสารที่ประสบความสำเร็จอย่างมากของมนุษยชาติ แต่ตัวเทคโนโลยีก็เริ่มถึงขีดจำกัดของมันในแง่ความหลากหลายของข้อมูลที่ส่ง ทำให้สมาคม GSM Association เริ่มพัฒนามาตรฐานใหม่ชื่อ Rich Communication Services (RCS) ขึ้นมาทดแทน
RCS หรือชื่อทางการค้า "joyn" มีความสามารถที่ระบบข้อความยุคใหม่ควรมีครบครัน เช่น การคุยแบบกลุ่ม แชร์ไฟล์ แชร์พิกัด สนทนาด้วยเสียง/วิดีโอ