Saturday, November 23, 2024
ArticlesColumnistCybersecurityPairoj Waiwanijchakij

Firmware Analysis ถึงเวลาล้อมกรอบรับประกันความปลอดภัยให้กับ Smart Phone

ขอฝากข้อกังวลเรื่อง ความปลอดภัยของ Smart Phone ในประเด็นของ Firmware Analysis ที่มีโอกาสเกิดขึ้นจากแรงขับเคลื่อนการแข่งขันของผู้ขายสมาร์ทโฟน ที่อาจหลงลืมหรือมองข้ามมาตรการความปลอดภัยบางอย่างลง จนมีช่องโหว่ทางโปรแกรมเกิดขึ้นตั้งแต่วันแรกที่ซื้อมือถือ

มื่อไม่กี่วันก่อน ผมได้มีโอกาสพูดคุยกับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ (Cyber Security) ประกอบกับประสบการณ์บทบาทหน้าที่รับหน้าที่ของตนเองเมื่อหลายปีก่อน กับการบริหารจัดการผลิตภัณฑ์แอปพลิเคชันให้กับบริษัทผู้ให้บริการเครือข่ายสื่อสารไร้สายรายหนึ่ง

ทำให้ตระหนักถึงภัยคุกคามด้านไซเบอร์อีกรูปแบบหนึ่งที่ฝังมากับอุปกรณ์สื่อสารอย่าง Smart Phone ก่อนจะถูกส่งผ่านช่องทางการจัดจำหน่ายมาถึงมือผู้บริโภคอย่างเราท่านๆ และยิ่งเห็นถึงความจำเป็นเร่งด่วนของหน่วยงานภาครัฐที่เกี่ยวข้องในการกำกับและควบคุมกระบวนการตรวจสอบการทำงานอย่างมีเอกภาพเพื่อลดความรุนแรงของปัญหาอย่างเร่งด่วน

ภัยคุกคามที่ว่าเกิดมาจาก ช่องโหว่ (Vulnerability) ที่แฝงมากับแอปพลิเคชันและโค้ดต่างๆ รวมถึง Firmware ที่อยู่ในตัวเครื่อง Smart Phone ซึ่งมีโอกาสที่นักพัฒนาซอฟต์แวร์จะเผลอนำโค้ดจากสาธารณะมาประกอบเรียกใช้ฟังก์ชันการทำงานเป็นส่วนหนึ่งของแอปพลิเคชัน

ซึ่งโค้ดเหล่านี้มีความไม่บริสุทธิ์ในการทำงานและเป็นช่องทางของมิจฉาชีพในการแอบเข้าถึงการทำงานของผู้บริโภค และมีการลักลอบส่งข้อมูลในการใช้งานกลับไปยังแฮกเกอร์ เปิดทางให้เกิดการโจรกรรมทางไซเบอร์ได้สารพัดรูปแบบ

ข้อเท็จจริงที่ไม่มีใครเคยพูด
บทความโดย: ไพโรจน์ ไววานิชกิจ นักวิชาการผู้เชี่ยวชาญด้านโทรคมนาคม ธุรกิจดิจิทัล อุตสาหกรรมสตาร์ทอัพ ธุรกิจพลังงาน ลอจิสติก และเทคโนโลยีสารสนเทศ

ผมพูดเช่นนี้ก็เพราะในความเป็นจริงของ การบริหารจัดการผลิตภัณฑ์ Smart Phone (Product Line Management) โดยทั่วไป ผู้ผลิต Smartphone ทั้งหลายต่างก็ต้องเร่งสร้างสินค้ารุ่นใหม่ๆ ของตนเองสู่ตลาด นอกเหนือจากการสร้างจุดเด่นที่เหนือกว่าคู่แข่งทางด้านฮาร์ดแวร์

ไม่ว่าจะเป็นความละเอียดของกล้อง จำนวนหน่วยความ ซึ่งนับวันจุดเด่นด้านฮาร์ดแวร์ก็ดูเหมือนจะตีบตัน ไม่ค่อยมีเรื่องใหม่ๆ มาแข่งกันแล้ว ความสามารถด้านซอฟต์แวร์ดูพอจะเป็นช่องทางที่ผู้ผลิตสามารถหยิบยกมาจุดต่างได้มากกว่า

การเร่งพัฒนาเขี้ยวเล็บ ลูกเล่น และขีดความสามารถด้านซอฟต์แวร์กลับกลายเป็นการสร้างจุดโหว่ด้านความปลอดภัยทางไซเบอร์ให้กับผลิตภัณฑ์ได้ง่ายๆ ที่เป็นเช่นนั้นเพราะ ผู้ผลิตไม่มีเวลามากนักสำหรับการพัฒนา

เพื่อให้สามารถปล่อยผลิตภัณฑ์เข้าสู่ตลาดพร้อมกับขีดความสามารถใหม่ๆ ก่อนคู่แข่ง หรือก่อนที่ว่า “ทีเด็ด” ของตนเองจะตกยุค จนทำให้ไม่สามารถขาย Smartphone รุ่นนั้นๆ ได้ตามยอดเพราะกลายเป็นของตกยุคเร็วเกินกว่าที่คาดคิดไว้

ผู้ผลิตก็จำเป็นจะต้อง reused โค้ดเก่าๆ ที่เขียนไว้สำหรับ Smartphone รุ่นเดิมๆ บ้าง นำโค้ดบางส่วนที่เป็นโค้ดแบบ Open source มาใช้บ้าง ซึ่งโค้ดสาธารณะหลายๆ ส่วนก็ย่อมมีความไม่บริสุทธิ์ซ่อนเร้นอยู่ เช่น อาจจะมี software function ที่ซ่อนกลไกการแอบตรวจดูพฤติกรรมการทำงานของผู้ใช้งาน โดยมีสปอนเซอร์ผู้แอบฝังกลไกลเหล่านั้นเป็นบริษัทโฆษณา หรือหนักกว่านั้นก็อาจเป็นการฝังซ่อนโดยแฮกเกอร์

เบาะๆ ลงก็คือความอ่อนด้อยของนักพัฒนาอิสระเองที่ปล่อยให้มีช่องโหว่ทางไซเบอร์ ที่เปิดโอกาสให้แฮกเกอร์สามารถเจาะเข้าระบบ แต่หนักกว่านั้นก็คือตัวโปรแกรมเมอร์ของบริษัทผู้ผลิต Smartphone เอง ที่ “หลุด” เปิดช่องโหว่เหล่านั้น เพียงเพราะความรีบที่จะเข้าตลาด (Time to market) และพลาดที่จะตรวจสอบ หรือไม่มีเครื่องมือตรวจสอบความผิดพลาดที่เกี่ยวกับช่องโหว่ทางไซเบอร์

หนักกว่านั้นก็คือบรรดาผู้นำเข้าและทำตลาด Smartphone ในตลาดของแต่ละประเทศ ซึ่งก็ประกอบไปด้วย ตัวบริษัทผู้ให้บริการโทรศัพท์เคลื่อนที่ (Mobile Operator) ที่ทุกวันนี้เป็นผู้นำเข้าและจัดจำหน่ายรายใหญ่ ไล่ไปจนถึงตัวผู้ผลิตเองที่มาตั้งบริษัททำตลาดในแต่ประเทศ

รวมถึงบรรดาตัวแทนจำหน่ายทั้งหลาย ก็อาจจะมีการขอใส่ลูกเล่นพิเศษด้านแอปพลิเคชันเพื่อสร้างความแตกต่างจากผู้นำเข้ารายอื่นๆ ให้กับ Smartphone รุ่นเดียวกัน

การแข่งขันทางธุรกิจ ตัวสร้างช่องโหว่เรื่องความปลอดภัย

ที่พบเห็นได้บ่อยๆ ก็คือ บรรดาผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่ ที่มักจะมีกลยุทธ์ทางการตลาด โดยเฉพาะการเปิดตัวขาย Smartphone แบรนด์ใหญ่ๆ ราคาสูงๆ ที่ต้องการช่วงชิงลูกค้าให้มาซื้อสินค้าจากค่ายของตน โดยมุ่งหวังเป็นการดึงลูกค้าให้ย้ายค่ายมายังตนเอง

หนึ่งในจุดขายสำคัญก็คือ การเจรจากับผู้ผลิต Smartphone ให้ทำการ preload หรือการสร้างแอปพลิเคชันพิเศษที่ไม่ได้อยู่ในรายการแอปพลิเคชันมาตรฐานที่ฝังมาพร้อมกับเครื่องในโรงงาน เป็นการจ้างให้ฝังแอปพลิเคชันพิเศษ ซึ่งบริษัทผู้ให้บริการเครือข่ายผลิตเองบ้าง หรือจ้างบริษัทผู้ผลิต Smartphone ให้ทำขึ้นมาตามความต้องการทางการตลาดของตนบ้าง

เบื้องหลังความยุ่งยากในการผลักดันให้มีการ preload มีมากมาย ตั้งแต่การแก้ไขเนื้อหาและการทำงานของ preload app สารพัดรอบจากผู้ให้บริการเครือข่าย ข้อกำหนดและข้อจำกัดของการทำ preload โดยผู้ผลิต การทดสอบการทำงาน ในขณะที่ทั้งผู้ผลิตและผู้ให้บริการเครือข่ายก็มีเส้นตายคือการเปิดตัว Smartphone

และในหลายๆ ครั้งผู้พัฒนาซอฟต์แวร์ก็อาจจะเป็นบุคคลที่สามที่ผู้ผลิต Smartphone หรือผู้ให้บริการเครือข่ายเป็นผู้ว่าจ้าง (outsource) ความหละหลวมในการปล่อยให้เกิดช่องโหว่ทางไซเบอร์ผ่านทาง preload app ก็มีมากขึ้น

ยิ่งไปกว่านั้น กลายเป็นว่าเมื่อถึงเวลาทำตลาด Smartphone รุ่นเดียวกัน แต่นำเข้าและทำตลาดโดยบริษัทผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่ 2-3 ราย ที่มีนโยบายทำ preload app ก็จะเป็นเสมือน Smartphone 2-3 รุ่นที่ไม่เหมือนกัน ภาษาทางการธุรกิจเรียกว่าต่าง SKU (Stock Keeping Unit) กัน

หมายความว่าหากมีช่องโหว่ทางไซเบอร์เกิดขึ้นกับ preload app ของค่าย ก. แต่ค่าย ข. และ ค. ไม่เกิด (เพราะ preload app ต่างคนต่างผลิต) ก็จะกลายเป็นว่า smartphone รุ่นเดียวกัน แต่ซื้อจากผู้ให้บริการเครือข่ายต่างค่าย ค่ายหนึ่งมีช่องโหว่ทางไซเบอร์ อีกค่ายหรืออีกหลายค่ายกลับไม่พบปัญหาดังกล่าว

Image by rawpixel.com on Freepik
ปัญหาที่ยังมีทางแก้

เหตุการณ์ที่กล่าวมาตั้งแต่ต้น ไม่เหมือนกับกรณีที่ผมเคยกล่าวถึงในบทความหลายตอนก่อน ที่เป็นเรื่องของนักพัฒนาซอฟต์แวร์หรือผู้บริหารแบรนด์ที่สร้างแอปพลิเคชัน หรือ ซูเปอร์แอปพลิเคชัน (Super APP) ที่ผลิตพลาดจนทำให้แอปพลิเคชันของตนมีช่องโหว่ทางไซเบอร์

แต่สิ่งที่กล่าวถึงในที่นี้เป็นเรื่องที่ใหญ่กว่าและอาจจะมีผลกระทบต่อผู้ใช้งานจำนวนมากกว่า ยิ่งไปกว่านั้นด้วยเหตุที่ว่าผู้ผลิต Smartphone จำเป็นต้องเร่งพัฒนาสินค้ารุ่นใหม่ๆ ของตนให้ทันกับการแข่งขันทางตลาด โอกาสที่จะนำโค้ดซอฟต์แวร์ที่มีช่องโหว่ทางไซเบอร์จากรุ่นก่อนหน้า มาใช้ในสินค้ารุ่นต่อไปก็กลายเป็นความเสี่ยงอีกเช่นกัน

ที่หนักหนากว่านั้นก็คือ แม้ Smartphone รุ่นหนึ่งที่อาจจะไม่มีช่องโหว่ใดๆ เมื่อนำมาทำตลาดและกระจายสู่มือผู้บริโภคแล้ว แต่เมื่อผู้ผลิตมีการพัฒนา software upgrade code และกลไกการ update software บน smartphone สั่งให้ผู้บริโภคกดปุ่มเพื่อทำการ upgrade

โค้ดที่เขียนสำหรับ upgrade นั้นอาจจะมีช่องโหว่ทางไซเบอร์ขึ้นมา จะเห็นได้ว่า ความเสี่ยงของการเปิดช่องโหว่ทางไซเบอร์โดยผู้ผลิตสินค้ามิได้เกิดและจบไปเฉพาะเพียงแค่ช่วงทำตลาดเท่านั้น แต่ยังมีโอกาสตามมาหลอกหลอนผู้บริโภคได้อย่างไม่มีที่สิ้นสุด

ยังดีที่ในตลาด Cyber Security ปัจจุบันมีบริษัทที่มีความเชี่ยวชาญคิดค้นโซลูชันและกลวิธี (procedure) ที่สามารถตรวจสอบช่องโหว่ทางไซเบอร์ของ Firmware และซอฟต์แวร์ที่ฝังอยู่ใน smartphone ได้อย่างละเอียด โดยใช้เทคโนโลยี AI ด้านไซเบอร์ที่จะตรวจสอบช่องไหว่ทางไซเบอร์ กลไกการทำงานที่ผิดปกติ และแจ้งแนวทางในการแก้ไขช่องโหว่เหล่านั้น

ซึ่งในตลาดปัจจุบันก็มีบริษัท Kryptowire จากสหรัฐอเมริกา ซึ่งทำตลาดในชื่อ Quokka มีผลิตภัณฑ์ตรวจสอบภายใต้ชื่อ Firmware Analysis ที่ขีดความสามารถและได้รับการยอดรับจากหน่วยงานมาตรฐานอุตสาหกรรมจากหลายประเทศในสหรัฐอเมริกา ยุโรป และเอเชีย โดยมีหน่วยงานกลาโหมของสหรัฐอเมริกาให้ทุนสนับสนุนมาตั้งแต่การก่อตั้งบริษัทในฐานะของ Pioneer startups

แต่อย่างไรก็ตามแม้ว่าในตลาดจะมีโซลูชันในการตรวจสอบ แต่ปัญหาใหญ่ก็คือการหา “เจ้าภาพ” ในการเป็นศูนย์กลางในการทำตรวจสอบ ซึ่งในมุมมองของผม มองว่าในทุกประเทศ หน่วยงานใดก็ตามที่ทำหน้าที่เป็นหน่วยงานหลักที่มีบทบาทในการตรวจสอบความปลอดภัยของอุปกรณ์สื่อสาร หน่วยงานนั้นนั่นแหละที่สมควรจะต้องทำหน้าที่ในการทำ Firmware Analysis

โชคดีสำหรับประเทศไทย การนำเข้าโทรศัพท์เคลื่อนที่หรืออุปกรณ์สื่อสารที่ใช้คลื่นความวิทยุ นับตั้งแต่อดีตเป็นต้นมา มีกรมไปรษณีย์โทรเลข ดำเนินการตรวจสอบและรับรองมาตรฐานผลกระทบด้านการแพร่กระจายคลื่นความถี่วิทยุทั้งต่อผู้ใช้งานและต่อสภาพแวดล้อมต่างๆ

ซึ่งถึงปัจจุบันหน้าที่ดังกล่าวก็ตกเป็นของ สำนักงานคณะกรรมการกิจการวิทยุ กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ หรือ กสทช. (NBTC) ซึ่งมีการวางข้อกำหนดและตราให้มีสติ๊กเกอร์รับรองมาตรฐานให้กับ smartphone หรืออุปกรณ์สื่อสารใดๆ ที่ใช้คลื่นวิทยุอยู่แล้ว

การสร้างความปลอดภัยด้านไซเบอร์ให้กับผู้บริโภคก็ย่อมเป็นบทบาทหน้าที่ที่ กสทช. พิจารณาต่อยอดเพื่อให้ทันกับยุคสมัยที่พัฒนาไปย่างรวดเร็วจากปัจจุบัน

ผมมองว่า การขยายภาระหน้าที่ในการตรวจสอบและรับรอง smartphone จากเพียงด้านการแพร่กระจายคลื่นวิทยุไปครอบคลุมถึงการทำ Firmware analysis เป็นสิ่งจำเป็น ทั้งในฐานะของผู้มีอำนาจเป็นช่องทางรวมศูนย์ของการทดสอบก่อนจะอนุญาตให้ผลิตภัณฑ์เข้าสู่กระบวนการทำตลาด และการสร้างมาตรฐานใหม่ที่จะเป็นตัวอย่างต่อการกำกับดูแลของแต่ละประเทศในภูมิภาค

และดังที่ผมได้กล่าวไปในตอนต้นว่าแม้จะทดสอบและไม่พบช่องโหว่ใดๆ แต่ กสทช. ก็ยังมีอำนาจในการเรียกให้ผู้ผลิตหรือผู้นำเข้า smartphone นำส่ง software code เมื่อมีการทำ upgrade แต่ละครั้งมาให้ทำการทดสอบ Firmware analysis อีก โดยมิได้ว่าจะต้องบังคับให้ผู้ผลิตต้องชะลอการนำโค้ดไปขึ้นยัง play store หรือ app store จนกว่าจะตรวจเสร็จ

เพราะกลไกการ update หรือ upgrade เป็นเรื่อง global เพียงแต่ว่าให้ผู้นำเข้าหรือผู้ผลิตมีหน้าที่ต้องแจ้งและส่งโค้ดล่าสุดมาให้ กสทช. เร่งตรวจสอบ อย่างน้อยก็ให้ กสทช. เป็นศูนย์ให้ข้อมูลอันเป็นประโยชน์ต่อผู้บริโภคว่า Smartphone รุ่นที่เคยได้รับการตรวจสอบและรับรองความปลอดภัยทางไซเบอร์ไปแล้ว และบัดนี้มีการ upgrade หรือ update รุ่นใดมีปัญหาและช่องโหว่ความปลอดภัยใดๆ เพื่อจะได้เป็นการกระตุ้นให้กับผู้ผลิตเร่งทำการแก้ไข

เพียงเท่านี้การใช้งาน Smartphone อย่างปลอดภัยก็จะมีมาตรฐานและผู้คุมเกมอย่างเป็นกิจจะลักษณะ และเป็นรากฐานของการพัฒนากลยุทธ์ในการรับมือกับช่องโหว่ทางไซเบอร์ได้อย่างเป็นระบบ บทความในตอนนี้ผมจึงขอฝากแนวคิดนี้ให้ กสทช. ได้พิจารณาเพื่อให้เป็นประโยชน์ต่อประเทศชาติต่อไป

พบกันในบทความตอนต่อไปครับ…

อ่านบทความทั้งหมดของ ไพโรจน์ ไววานิชกิจ

Featured Image: Image by bublikhaus on Freepik