Firmware Analysis ถึงเวลาล้อมกรอบรับประกันความปลอดภัยให้กับ Smart Phone

“ขอฝากข้อกังวลเรื่อง ความปลอดภัยของ Smart Phone ในประเด็นของ Firmware Analysis ที่มีโอกาสเกิดขึ้นจากแรงขับเคลื่อนการแข่งขันของผู้ขายสมาร์ทโฟน ที่อาจหลงลืมหรือมองข้ามมาตรการความปลอดภัยบางอย่างลง จนมีช่องโหว่ทางโปรแกรมเกิดขึ้นตั้งแต่วันแรกที่ซื้อมือถือ

เมื่อไม่กี่วันก่อน ผมได้มีโอกาสพูดคุยกับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ (Cyber Security) ประกอบกับประสบการณ์บทบาทหน้าที่รับหน้าที่ของตนเองเมื่อหลายปีก่อน กับการบริหารจัดการผลิตภัณฑ์แอปพลิเคชันให้กับบริษัทผู้ให้บริการเครือข่ายสื่อสารไร้สายรายหนึ่ง

ทำให้ตระหนักถึงภัยคุกคามด้านไซเบอร์อีกรูปแบบหนึ่งที่ฝังมากับอุปกรณ์สื่อสารอย่าง Smart Phone ก่อนจะถูกส่งผ่านช่องทางการจัดจำหน่ายมาถึงมือผู้บริโภคอย่างเราท่านๆ และยิ่งเห็นถึงความจำเป็นเร่งด่วนของหน่วยงานภาครัฐที่เกี่ยวข้องในการกำกับและควบคุมกระบวนการตรวจสอบการทำงานอย่างมีเอกภาพเพื่อลดความรุนแรงของปัญหาอย่างเร่งด่วน

ภัยคุกคามที่ว่าเกิดมาจาก ช่องโหว่ (Vulnerability) ที่แฝงมากับแอปพลิเคชันและโค้ดต่างๆ รวมถึง Firmware ที่อยู่ในตัวเครื่อง Smart Phone ซึ่งมีโอกาสที่นักพัฒนาซอฟต์แวร์จะเผลอนำโค้ดจากสาธารณะมาประกอบเรียกใช้ฟังก์ชันการทำงานเป็นส่วนหนึ่งของแอปพลิเคชัน

ซึ่งโค้ดเหล่านี้มีความไม่บริสุทธิ์ในการทำงานและเป็นช่องทางของมิจฉาชีพในการแอบเข้าถึงการทำงานของผู้บริโภค และมีการลักลอบส่งข้อมูลในการใช้งานกลับไปยังแฮกเกอร์ เปิดทางให้เกิดการโจรกรรมทางไซเบอร์ได้สารพัดรูปแบบ

ข้อเท็จจริงที่ไม่มีใครเคยพูด

ผมพูดเช่นนี้ก็เพราะในความเป็นจริงของ การบริหารจัดการผลิตภัณฑ์ Smart Phone (Product Line Management) โดยทั่วไป ผู้ผลิต Smartphone ทั้งหลายต่างก็ต้องเร่งสร้างสินค้ารุ่นใหม่ๆ ของตนเองสู่ตลาด นอกเหนือจากการสร้างจุดเด่นที่เหนือกว่าคู่แข่งทางด้านฮาร์ดแวร์

ไม่ว่าจะเป็นความละเอียดของกล้อง จำนวนหน่วยความ ซึ่งนับวันจุดเด่นด้านฮาร์ดแวร์ก็ดูเหมือนจะตีบตัน ไม่ค่อยมีเรื่องใหม่ๆ มาแข่งกันแล้ว ความสามารถด้านซอฟต์แวร์ดูพอจะเป็นช่องทางที่ผู้ผลิตสามารถหยิบยกมาจุดต่างได้มากกว่า

การเร่งพัฒนาเขี้ยวเล็บ ลูกเล่น และขีดความสามารถด้านซอฟต์แวร์กลับกลายเป็นการสร้างจุดโหว่ด้านความปลอดภัยทางไซเบอร์ให้กับผลิตภัณฑ์ได้ง่ายๆ ที่เป็นเช่นนั้นเพราะ ผู้ผลิตไม่มีเวลามากนักสำหรับการพัฒนา

เพื่อให้สามารถปล่อยผลิตภัณฑ์เข้าสู่ตลาดพร้อมกับขีดความสามารถใหม่ๆ ก่อนคู่แข่ง หรือก่อนที่ว่า “ทีเด็ด” ของตนเองจะตกยุค จนทำให้ไม่สามารถขาย Smartphone รุ่นนั้นๆ ได้ตามยอดเพราะกลายเป็นของตกยุคเร็วเกินกว่าที่คาดคิดไว้

ผู้ผลิตก็จำเป็นจะต้อง reused โค้ดเก่าๆ ที่เขียนไว้สำหรับ Smartphone รุ่นเดิมๆ บ้าง นำโค้ดบางส่วนที่เป็นโค้ดแบบ Open source มาใช้บ้าง ซึ่งโค้ดสาธารณะหลายๆ ส่วนก็ย่อมมีความไม่บริสุทธิ์ซ่อนเร้นอยู่ เช่น อาจจะมี software function ที่ซ่อนกลไกการแอบตรวจดูพฤติกรรมการทำงานของผู้ใช้งาน โดยมีสปอนเซอร์ผู้แอบฝังกลไกลเหล่านั้นเป็นบริษัทโฆษณา หรือหนักกว่านั้นก็อาจเป็นการฝังซ่อนโดยแฮกเกอร์

เบาะๆ ลงก็คือความอ่อนด้อยของนักพัฒนาอิสระเองที่ปล่อยให้มีช่องโหว่ทางไซเบอร์ ที่เปิดโอกาสให้แฮกเกอร์สามารถเจาะเข้าระบบ แต่หนักกว่านั้นก็คือตัวโปรแกรมเมอร์ของบริษัทผู้ผลิต Smartphone เอง ที่ “หลุด” เปิดช่องโหว่เหล่านั้น เพียงเพราะความรีบที่จะเข้าตลาด (Time to market) และพลาดที่จะตรวจสอบ หรือไม่มีเครื่องมือตรวจสอบความผิดพลาดที่เกี่ยวกับช่องโหว่ทางไซเบอร์

หนักกว่านั้นก็คือบรรดาผู้นำเข้าและทำตลาด Smartphone ในตลาดของแต่ละประเทศ ซึ่งก็ประกอบไปด้วย ตัวบริษัทผู้ให้บริการโทรศัพท์เคลื่อนที่ (Mobile Operator) ที่ทุกวันนี้เป็นผู้นำเข้าและจัดจำหน่ายรายใหญ่ ไล่ไปจนถึงตัวผู้ผลิตเองที่มาตั้งบริษัททำตลาดในแต่ประเทศ

รวมถึงบรรดาตัวแทนจำหน่ายทั้งหลาย ก็อาจจะมีการขอใส่ลูกเล่นพิเศษด้านแอปพลิเคชันเพื่อสร้างความแตกต่างจากผู้นำเข้ารายอื่นๆ ให้กับ Smartphone รุ่นเดียวกัน

การแข่งขันทางธุรกิจ ตัวสร้างช่องโหว่เรื่องความปลอดภัย

ที่พบเห็นได้บ่อยๆ ก็คือ บรรดาผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่ ที่มักจะมีกลยุทธ์ทางการตลาด โดยเฉพาะการเปิดตัวขาย Smartphone แบรนด์ใหญ่ๆ ราคาสูงๆ ที่ต้องการช่วงชิงลูกค้าให้มาซื้อสินค้าจากค่ายของตน โดยมุ่งหวังเป็นการดึงลูกค้าให้ย้ายค่ายมายังตนเอง

หนึ่งในจุดขายสำคัญก็คือ การเจรจากับผู้ผลิต Smartphone ให้ทำการ preload หรือการสร้างแอปพลิเคชันพิเศษที่ไม่ได้อยู่ในรายการแอปพลิเคชันมาตรฐานที่ฝังมาพร้อมกับเครื่องในโรงงาน เป็นการจ้างให้ฝังแอปพลิเคชันพิเศษ ซึ่งบริษัทผู้ให้บริการเครือข่ายผลิตเองบ้าง หรือจ้างบริษัทผู้ผลิต Smartphone ให้ทำขึ้นมาตามความต้องการทางการตลาดของตนบ้าง

เบื้องหลังความยุ่งยากในการผลักดันให้มีการ preload มีมากมาย ตั้งแต่การแก้ไขเนื้อหาและการทำงานของ preload app สารพัดรอบจากผู้ให้บริการเครือข่าย ข้อกำหนดและข้อจำกัดของการทำ preload โดยผู้ผลิต การทดสอบการทำงาน ในขณะที่ทั้งผู้ผลิตและผู้ให้บริการเครือข่ายก็มีเส้นตายคือการเปิดตัว Smartphone

และในหลายๆ ครั้งผู้พัฒนาซอฟต์แวร์ก็อาจจะเป็นบุคคลที่สามที่ผู้ผลิต Smartphone หรือผู้ให้บริการเครือข่ายเป็นผู้ว่าจ้าง (outsource) ความหละหลวมในการปล่อยให้เกิดช่องโหว่ทางไซเบอร์ผ่านทาง preload app ก็มีมากขึ้น

ยิ่งไปกว่านั้น กลายเป็นว่าเมื่อถึงเวลาทำตลาด Smartphone รุ่นเดียวกัน แต่นำเข้าและทำตลาดโดยบริษัทผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่ 2-3 ราย ที่มีนโยบายทำ preload app ก็จะเป็นเสมือน Smartphone 2-3 รุ่นที่ไม่เหมือนกัน ภาษาทางการธุรกิจเรียกว่าต่าง SKU (Stock Keeping Unit) กัน

หมายความว่าหากมีช่องโหว่ทางไซเบอร์เกิดขึ้นกับ preload app ของค่าย ก. แต่ค่าย ข. และ ค. ไม่เกิด (เพราะ preload app ต่างคนต่างผลิต) ก็จะกลายเป็นว่า smartphone รุ่นเดียวกัน แต่ซื้อจากผู้ให้บริการเครือข่ายต่างค่าย ค่ายหนึ่งมีช่องโหว่ทางไซเบอร์ อีกค่ายหรืออีกหลายค่ายกลับไม่พบปัญหาดังกล่าว

ปัญหาที่ยังมีทางแก้

เหตุการณ์ที่กล่าวมาตั้งแต่ต้น ไม่เหมือนกับกรณีที่ผมเคยกล่าวถึงในบทความหลายตอนก่อน ที่เป็นเรื่องของนักพัฒนาซอฟต์แวร์หรือผู้บริหารแบรนด์ที่สร้างแอปพลิเคชัน หรือ ซูเปอร์แอปพลิเคชัน (Super APP) ที่ผลิตพลาดจนทำให้แอปพลิเคชันของตนมีช่องโหว่ทางไซเบอร์

แต่สิ่งที่กล่าวถึงในที่นี้เป็นเรื่องที่ใหญ่กว่าและอาจจะมีผลกระทบต่อผู้ใช้งานจำนวนมากกว่า ยิ่งไปกว่านั้นด้วยเหตุที่ว่าผู้ผลิต Smartphone จำเป็นต้องเร่งพัฒนาสินค้ารุ่นใหม่ๆ ของตนให้ทันกับการแข่งขันทางตลาด โอกาสที่จะนำโค้ดซอฟต์แวร์ที่มีช่องโหว่ทางไซเบอร์จากรุ่นก่อนหน้า มาใช้ในสินค้ารุ่นต่อไปก็กลายเป็นความเสี่ยงอีกเช่นกัน

ที่หนักหนากว่านั้นก็คือ แม้ Smartphone รุ่นหนึ่งที่อาจจะไม่มีช่องโหว่ใดๆ เมื่อนำมาทำตลาดและกระจายสู่มือผู้บริโภคแล้ว แต่เมื่อผู้ผลิตมีการพัฒนา software upgrade code และกลไกการ update software บน smartphone สั่งให้ผู้บริโภคกดปุ่มเพื่อทำการ upgrade

โค้ดที่เขียนสำหรับ upgrade นั้นอาจจะมีช่องโหว่ทางไซเบอร์ขึ้นมา จะเห็นได้ว่า ความเสี่ยงของการเปิดช่องโหว่ทางไซเบอร์โดยผู้ผลิตสินค้ามิได้เกิดและจบไปเฉพาะเพียงแค่ช่วงทำตลาดเท่านั้น แต่ยังมีโอกาสตามมาหลอกหลอนผู้บริโภคได้อย่างไม่มีที่สิ้นสุด

ยังดีที่ในตลาด Cyber Security ปัจจุบันมีบริษัทที่มีความเชี่ยวชาญคิดค้นโซลูชันและกลวิธี (procedure) ที่สามารถตรวจสอบช่องโหว่ทางไซเบอร์ของ Firmware และซอฟต์แวร์ที่ฝังอยู่ใน smartphone ได้อย่างละเอียด โดยใช้เทคโนโลยี AI ด้านไซเบอร์ที่จะตรวจสอบช่องไหว่ทางไซเบอร์ กลไกการทำงานที่ผิดปกติ และแจ้งแนวทางในการแก้ไขช่องโหว่เหล่านั้น

ซึ่งในตลาดปัจจุบันก็มีบริษัท Kryptowire จากสหรัฐอเมริกา ซึ่งทำตลาดในชื่อ Quokka มีผลิตภัณฑ์ตรวจสอบภายใต้ชื่อ Firmware Analysis ที่ขีดความสามารถและได้รับการยอดรับจากหน่วยงานมาตรฐานอุตสาหกรรมจากหลายประเทศในสหรัฐอเมริกา ยุโรป และเอเชีย โดยมีหน่วยงานกลาโหมของสหรัฐอเมริกาให้ทุนสนับสนุนมาตั้งแต่การก่อตั้งบริษัทในฐานะของ Pioneer startups

แต่อย่างไรก็ตามแม้ว่าในตลาดจะมีโซลูชันในการตรวจสอบ แต่ปัญหาใหญ่ก็คือการหา “เจ้าภาพ” ในการเป็นศูนย์กลางในการทำตรวจสอบ ซึ่งในมุมมองของผม มองว่าในทุกประเทศ หน่วยงานใดก็ตามที่ทำหน้าที่เป็นหน่วยงานหลักที่มีบทบาทในการตรวจสอบความปลอดภัยของอุปกรณ์สื่อสาร หน่วยงานนั้นนั่นแหละที่สมควรจะต้องทำหน้าที่ในการทำ Firmware Analysis

โชคดีสำหรับประเทศไทย การนำเข้าโทรศัพท์เคลื่อนที่หรืออุปกรณ์สื่อสารที่ใช้คลื่นความวิทยุ นับตั้งแต่อดีตเป็นต้นมา มีกรมไปรษณีย์โทรเลข ดำเนินการตรวจสอบและรับรองมาตรฐานผลกระทบด้านการแพร่กระจายคลื่นความถี่วิทยุทั้งต่อผู้ใช้งานและต่อสภาพแวดล้อมต่างๆ

ซึ่งถึงปัจจุบันหน้าที่ดังกล่าวก็ตกเป็นของ สำนักงานคณะกรรมการกิจการวิทยุ กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ หรือ กสทช. (NBTC) ซึ่งมีการวางข้อกำหนดและตราให้มีสติ๊กเกอร์รับรองมาตรฐานให้กับ smartphone หรืออุปกรณ์สื่อสารใดๆ ที่ใช้คลื่นวิทยุอยู่แล้ว

การสร้างความปลอดภัยด้านไซเบอร์ให้กับผู้บริโภคก็ย่อมเป็นบทบาทหน้าที่ที่ กสทช. พิจารณาต่อยอดเพื่อให้ทันกับยุคสมัยที่พัฒนาไปย่างรวดเร็วจากปัจจุบัน

ผมมองว่า การขยายภาระหน้าที่ในการตรวจสอบและรับรอง smartphone จากเพียงด้านการแพร่กระจายคลื่นวิทยุไปครอบคลุมถึงการทำ Firmware analysis เป็นสิ่งจำเป็น ทั้งในฐานะของผู้มีอำนาจเป็นช่องทางรวมศูนย์ของการทดสอบก่อนจะอนุญาตให้ผลิตภัณฑ์เข้าสู่กระบวนการทำตลาด และการสร้างมาตรฐานใหม่ที่จะเป็นตัวอย่างต่อการกำกับดูแลของแต่ละประเทศในภูมิภาค

และดังที่ผมได้กล่าวไปในตอนต้นว่าแม้จะทดสอบและไม่พบช่องโหว่ใดๆ แต่ กสทช. ก็ยังมีอำนาจในการเรียกให้ผู้ผลิตหรือผู้นำเข้า smartphone นำส่ง software code เมื่อมีการทำ upgrade แต่ละครั้งมาให้ทำการทดสอบ Firmware analysis อีก โดยมิได้ว่าจะต้องบังคับให้ผู้ผลิตต้องชะลอการนำโค้ดไปขึ้นยัง play store หรือ app store จนกว่าจะตรวจเสร็จ

เพราะกลไกการ update หรือ upgrade เป็นเรื่อง global เพียงแต่ว่าให้ผู้นำเข้าหรือผู้ผลิตมีหน้าที่ต้องแจ้งและส่งโค้ดล่าสุดมาให้ กสทช. เร่งตรวจสอบ อย่างน้อยก็ให้ กสทช. เป็นศูนย์ให้ข้อมูลอันเป็นประโยชน์ต่อผู้บริโภคว่า Smartphone รุ่นที่เคยได้รับการตรวจสอบและรับรองความปลอดภัยทางไซเบอร์ไปแล้ว และบัดนี้มีการ upgrade หรือ update รุ่นใดมีปัญหาและช่องโหว่ความปลอดภัยใดๆ เพื่อจะได้เป็นการกระตุ้นให้กับผู้ผลิตเร่งทำการแก้ไข

เพียงเท่านี้การใช้งาน Smartphone อย่างปลอดภัยก็จะมีมาตรฐานและผู้คุมเกมอย่างเป็นกิจจะลักษณะ และเป็นรากฐานของการพัฒนากลยุทธ์ในการรับมือกับช่องโหว่ทางไซเบอร์ได้อย่างเป็นระบบ บทความในตอนนี้ผมจึงขอฝากแนวคิดนี้ให้ กสทช. ได้พิจารณาเพื่อให้เป็นประโยชน์ต่อประเทศชาติต่อไป

พบกันในบทความตอนต่อไปครับ…

อ่านบทความทั้งหมดของ ไพโรจน์ ไววานิชกิจ

Featured Image: Image by bublikhaus on Freepik