เกาหลีใต้มีนโยบายให้ผู้ให้บริการโทรศัพท์มือถือสำหรับเด็กต้องมีมาตรการควบคุมการใช้งานให้กับผู้ปกครอง ทางกสทช.เกาหลี (Korean Communications Commission - KCC) ออกมาสนับสนุนสมาคมธุรกิจอินเทอร์เน็ตเกาหลี (Korean Mobile Internet Business Association - MOIBA) ด้วยเงินถึง 3.18 พันล้านวอนหรือประมาณ 100 ล้านบาท ให้พัฒนาแอปพลิเคชั่น Smart Sheriff แต่ Citizen Lab กลับพบว่าแอพพลิเคชั่นตัวนี้มีช่องโหว่จำนวนมาก
ช่องโหว่ที่ Citizen Labs ตรวจสอบพบได้แก่
- ข้อมูลส่วนบุคคลไม่ได้เก็บ, หรือส่งกลับเซิร์ฟเวอร์อย่างปลอดภัย ถูกดักฟังได้ง่าย
- แอปพลิเคชั่นสามารถถูกยิงโค้ดเข้ามารันได้
- การออกแบบมีช่องโหว่ทำให้ผู้ปกครองควบคุมการใช้งานไม่ได้จริง
- บัญชีลงทะเบียนโดยไม่มีการตรวจสอบยืนยันอย่างถูกต้อง
- แม้จะปิดบริการบล็อคเว็บไปแล้ว แต่ตัวแอปพลิเคชั่นยังส่งประวัติการเข้าเว็บกลับเซิร์ฟเวอร์อย่างต่อเนื่อง
- เซิร์ฟเวอร์ไม่มีการจำกัดการใช้งาน ทำให้เสี่ยงต่อการถูกยิงด้วยการเชื่อมต่อปริมาณมากๆ
หลังจาก Citizen Lab รายงานเรื่องนี้กลับไปยัง MOIBA ทาง MOIBA ก็ปรับให้การเชื่อมต่อกลับเซิร์ฟเวอร์มีการเข้ารหัส แต่ตัวแอปพลิเคชั่นก็ยังคงไม่ตรวจสอบใบรับรองของเซิร์ฟเวอร์ทำให้เสี่ยงต่อการดักคั่นการเชื่อมต่ออยู่ดี
เกาหลีใต้เป็นประเทศที่มีประวัติคำนึงถึงความปลอดภัยข้อมูลมายาวนาน ในยุคที่สหรัฐฯ ห้ามส่งออกกระบวนการเข้ารหัสที่แข็งแกร่งเกิน 40 บิต เกาหลีใต้พัฒนากระบวนการ SEED ที่มีความแข็งแกร่ง 128 บิตขึ้นมาใช้งานเองผ่าน ActiveX ในแง่ของข้อมูลส่วนตัว เกาหลีใต้มีกฎหมาย Personal Information Protection Act (PIPA) ระบุว่าต้องมีมาตรการคุ้มครองข้อมูลส่วนตัว เช่น การเข้ารหัสข้อมูลเมื่อมีการเก็บหรือส่งต่อข้อมูลเหล่านี้
ที่มา - Citizen Lab