นักวิจัยด้านความปลอดภัยทางไอทีของไอบีเอ็มใช้เครื่องมือใหม่ล่าสุดของ IBM AppScan Mobile Analyzer ในการวิจัยและพบว่า แอพพลิเคชั่นหาคู่เหล่านี้สามารถเข้าถึงฟีเจอร์อื่นๆบนอุปกรณ์พกพา ไม่ว่าจะป็น กล้องถ่ายรูป ไมโครโฟน ที่เก็บข้อมูล ตำแหน่งที่ตั้ง GPS และข้อมูลการชำระเงินผ่านมือถือ อันอาจสร้างช่องโหว่ให้แฮ็กเกอร์โจมตีได้ ยิ่งไปกว่านั้น เกือบ 50 เปอร์เซ็นต์ขององค์กรพบว่า จะมีอย่างน้อยหนึ่งในแอพหาคู่นั้นถูกติดตั้งในอุปกรณ์พกพาที่ใช้ในการเข้าถึงข้อมูลธุรกิจขององค์กร
ในสังคมที่คนมากมายถูกเชื่อมโยงผ่านโลกออนไลน์ แอพหาคู่ถูกใช้อย่างแพร่หลายมากขึ้น เพราะเป็นช่องทางสะดวกสำหรับคนโสดทุกเพศทุกวัยในการค้นหาและพบปะพูดคุยกับคนรู้ใจ ผลการศึกษาของ Pew Research เปิดเผยว่า ชาวอเมริกันทุก 1 ใน 10 คนหรือประมาณ 31 ล้านคน เคยใช้เว็บไซต์หรือแอพหาคู่ และจำนวนคู่รักที่พบเจอกันทางออนไลน์มีจำนวนเพิ่มถึง 66 เปอร์เซ็นต์
นักวิจัยด้านความปลอดภัยทางไอทีของไอบีเอ็ม ระบุว่า แอพหาคู่ 26 จาก 41 แอพที่วิเคราะห์บนแพลตฟอร์ม Android มีความเสี่ยงอยู่ในระดับปานกลางหรือไปจนถึงระดับสูง การวิเคราะห์นี้จัดทำขึ้นกับแอพที่เปิดให้ดาวน์โหลดได้จาก แอพสโตร์ Google Play เมื่อเดือนตุลาคม 2557 โดยเพื่อให้เข้าใจการใช้แอพหาเหล่านี้ นักวิจัยใช้ข้อมูลจาก IBM MobileFirst Protect ซึ่งเดิมใช้ชื่อว่า MaaS360
ความเสี่ยงที่ตรวจพบโดยนักวิจัยด้านความปลอดภัยทางไอทีของไอบีเอ็มนี้ เปิดโอกาสให้แฮ็กเกอร์สามารถเก็บข้อมูลส่วนตัวของผู้ใช้ และแม้ว่าบางแอพจะมีมาตรการป้องกันอยู่แล้ว แต่ไอบีเอ็มพบว่าแอพจำนวนมากเสี่ยงต่อการโจมตี ซึ่งอาจนำไปสู่สถานการณ์ต่อไปนี้:
- แอพหาคู่ถูกใช้ในการดาวน์โหลดมัลแวร์: ผู้ใช้ก็มักจะลดความระมัดระวังลง ขณะที่พวกเขารอการติดต่อจากคู่เดท ทำให้แฮ็กเกอร์สบโอกาสในการจู่โจม โดยแฮ็กเกอร์อาจสร้างคำสั่งเปลี่ยนโปรแกรมในแอพที่เพื่อส่งข้อความเพื่อขอให้ผู้ใช้คลิกเพื่ออัพเดตหรืออ่านข้อความบางอย่าง ซึ่งที่จริงแล้วนั่นคือหลุมพรางที่หลอกให้ผู้ใช้ดาวน์โหลดมัลแวร์เข้าสู่อุปกรณ์
- ข้อมูล GPS ถูกใช้เพื่อติดตามความเคลื่อนไหว: ไอบีเอ็มพบว่า 73% ของแอพหาคู่ยอดนิยมนี้สามารถเข้าถึงข้อมูลตำแหน่ง GPS ในอดีตและปัจจุบันได้ ด้วยเหตุนี้ แฮ็กเกอร์จึงสามารถเก็บตำแหน่ง GPS ของผู้ใช้ เพื่อค้นหาว่าผู้ใช้พักอาศัย ทำงาน หรือใช้เวลาส่วนใหญ่อยู่ที่ใดบ้าง
- ขโมยหมายเลขบัตรเครดิตจากแอพ: 48% ของแอพหาคู่ยอดนิยมนี้สามารถเข้าถึงข้อมูลการชำระเงินที่ผู้ใช้บันทึกไว้บนอุปกรณ์ และเมื่อประกอบกับโค้ดโปรแกรมที่ไม่รัดกุมมากพอ ส่งผลให้คนร้ายสามารถเข้าถึงข้อมูลการชำระเงินที่บันทึกไว้ในอุปกรณ์พกพาผ่านทางช่องโหว่ในแอพหาคู่ และขโมยข้อมูลดังกล่าวเพื่อนำไปซื้อสินค้าโดยไม่ได้รับอนุญาต
- เข้าควบคุมกล้องหรือไมโครโฟนของโทรศัพท์: ช่องโหว่ทั้งหมดที่ระบุอาจเปิดโอกาสให้แฮ็กเกอร์สามารถเข้าถึงล้องถ่ายรูปหรือไมโครโฟนของโทรศัพท์จากทางไกล แม้ว่าผู้ใช้ไม่ได้ล็อกอินเข้าสู่แอพก็ตาม นั่นหมายความว่าคนร้ายสามารถสอดแนมหรือดักฟังการสนทนาของผู้ใช้ หรือลักลอบดักฟังการประชุมลับทางด้านธุรกิจ
- เข้ายึดโปรไฟล์หาคู่ของผู้ใช้: แฮ็กเกอร์สามารถเปลี่ยนแปลงเนื้อหาและรูปภาพในโปรไฟล์หาคู่ ปลอมตัวเป็นผู้ใช้และติดต่อสื่อสารกับผู้ใช้แอพคนอื่นๆ หรือเผยแพร่ข้อมูลส่วนตัวของผู้ใช้ออกสู่ภายนอกเพื่อทำลายชื่อเสียงของผู้ใช้ ซึ่งรูปแบบการจู่โจมนี้ก่อให้เกิดความเสี่ยงต่อผู้ใช้คนอื่นๆ เช่นกัน เนื่องจากคนร้ายอาจใช้บัญชีที่ถูกยึดเพื่อหลอกล่อผู้ใช้คนอื่นให้เปิดเผยข้อมูลลับต่างๆ
ในขณะที่ไอบีเอ็มพบความเสี่ยงจำนวนไม่น้อยในแอพหาคู่ยอดนิยมดังกล่าว แต่ทั้งผู้บริโภคและองค์กรธุรกิจก็สามารถดำเนินมาตรการเพื่อปกป้องตนเองให้รอดพ้นจากภัยคุกคามได้โดย
- อย่าเปิดเผยข้อมูลส่วนตัวมากเกินไป: จนกว่าคุณจะมั่นใจในตัวบุคคลที่คุณติดต่อผ่านแอพหาคู่
- พิจารณาความเหมาะสมของการอนุญาตเข้าถึง: ตรวจสอบการอนุญาตที่แอพร้องขอ โดยดูที่การตั้งค่าบนอุปกรณ์พกพาของคุณ
- ใช้รหัสผ่านที่ต่างกันในแต่ละบัญชีออนไลน์: หากคุณใช้รหัสผ่านเดียวกันสำหรับทุกบัญชี ก็อาจเปิดโอกาสให้มีการโจมตีหลายๆ บัญชี หากว่าบัญชีหนึ่งถูกแฮ็กได้สำเร็จ
- ติดตั้งแพตช์และอัพเดตล่าสุดให้กับแอพและอุปกรณ์ของคุณทันทีที่พร้อมใช้งาน: เพื่อแก้ไขจุดบกพร่องในอุปกรณ์และแอพพลิเคชั่นของคุณ ช่วยให้คุณใช้งานได้อย่างปลอดภัยมากขึ้น
- ใช้การเชื่อมต่อที่น่าเชื่อถือ: เมื่อคุณใช้แอพหาคู่ แฮ็กเกอร์มักจะใช้แอ็คเซสพอยต์ Wi-Fi ปลอมที่เชื่อมต่อคุณเข้ากับอุปกรณ์ของคนร้ายโดยตรง เพื่อดำเนินการโจมตี ช่องโหว่จำนวนมากที่พบในงานวิจัยนี้ถูกใช้งานผ่านทาง Wi-Fi
นอกจากนี้ องค์กรธุรกิจยังต้องเตรียมพร้อมรับมือด้วยเช่นกัน ไอบีเอ็มพบว่าเกือบ 50 องค์กรที่สุ่มตัวอย่างสำหรับงานวิจัยนี้ มีแอพหาคู่ยอดนิยมอย่างน้อยหนึ่งแอพถูกติดตั้งไว้บนอุปกรณ์ขององค์กร หรืออุปกรณ์ส่วนตัวที่พนักงานนำมาใช้ในที่ทำงาน ซึ่งสามารถทำได้โดย:
- ใช้มาตรการป้องกันที่รัดกุม: ไม่ควรละเลยการใช้โซลูชั่นการจัดการอุปกรณ์พกพาที่มีประสิทธิภาพในองค์กร รวมถึงเทคโนโลยีการจัดการภัยคุกคามบนอุปกรณ์พกพา เพื่อให้พนักงานสามารถใช้อุปกรณ์ของตนเอง โดยไม่ส่งผลกระทบต่อความปลอดภัยขององค์กร
- ระบุแอพในการดาวน์โหลด: อนุญาตให้พนักงานดาวน์โหลดเฉพาะแอพจากแอพสโตร์ที่เชื่อถือได้
- ให้ความรู้แก่พนักงาน: เพื่อให้ทราบถึงภัยของการดาวน์โหลดแอพจากภายนอก รวมถึงผลกระทบที่จะตามมาจากการอนุญาตให้แอพเข้าถึงข้อมูลและฟีเจอร์บางอย่างบนอุปกรณ์
- แจ้งเตือนเกี่ยวกับภัยคุกคามอย่างทันท่วงที: กำหนดนโยบายแบบอัตโนมัติบนอุปกรณ์พกพา ซึ่งจะดำเนินมาตรการในทันทีหากพบว่าอุปกรณ์ถูกแฮ็กหรือตรวจพบแอพอันตราย วิธีนี้จะช่วยป้องกันความเสียหายต่อองค์กรขณะที่กำลังแก้ไขปัญหา