งานประเมินแอปโซเชียลมีเดีย Android แปดแอปด้วยเครื่องมือวิเคราะห์หลายชนิดและจัดหมวดตาม OWASP Mobile Top 10 ปี 2024 พบสัญญาณหมวด M9 การเก็บข้อมูลไม่ปลอดภัยในทุกแอปที่ศึกษา แต่ผลจากเครื่องมือยังไม่เท่ากับการยืนยันช่องโหว่ที่โจมตีได้จริง
ข้อค้นพบสำคัญ
- หมวด M9 ปรากฏในทุกแอป ขณะที่ M6 พบน้อยที่สุด และเครื่องมือไม่พบ M1 หรือ M2 ในชุดทดสอบ แอป X มีจำนวนสัญญาณมากที่สุดและ TikTok น้อยที่สุด อย่างไรก็ดี จำนวนรวมไม่สะท้อนความรุนแรง ความสามารถในการโจมตี หรือการแก้ไขในรุ่นปัจจุบันโดยอัตโนมัติ
ทำไมจึงมีความสำคัญระดับโลก
แนวทางหลายเครื่องมือช่วยลดจุดบอดของเครื่องมือเดี่ยวและสามารถใช้เป็นการคัดกรองในวงจรพัฒนาซอฟต์แวร์ทั่วโลกได้ ประโยชน์ที่ยั่งยืนอยู่ที่การยืนยันด้วยคน การจัดลำดับตามความเสี่ยง และการเปิดเผยต่อผู้พัฒนาอย่างรับผิดชอบ
บทบาทของนักวิจัยไทย
ผู้เขียนสามคนเชื่อมโยงกับมหาวิทยาลัยเทคโนโลยีสุรนารี และวางคำถามในบริบทการใช้โซเชียลมีเดียระดับสูงของประเทศไทย ทำให้เกิดฐานสำหรับการศึกษาความปลอดภัยแอปในภูมิภาค
ข้อจำกัดที่ควรรู้
ผลขึ้นกับเวอร์ชัน APK การตั้งค่า และกฎของเครื่องมือ ณ เวลาตรวจ การวิเคราะห์แบบสถิตอาจมีทั้งผลบวกลวงและผลลบลวง ไม่มีข้อมูลการทดสอบแบบไดนามิก การยืนยัน exploit หรือความเสียหายจริง และการเปรียบเทียบจำนวนช่องโหว่โดยไม่ถ่วงความรุนแรงอาจทำให้เข้าใจผิด