บทความวิชาการทบทวนแอป “K-security” ที่บังคับติดตั้ง

หากเป็นผู้อ่านที่ติดตามที่นี่มานาน คุณอาจเคยอ่านบทความแนะนำ K-security ของ Wladimir Palant ที่ผมนำมาโพสต์ไว้เมื่อต้นปี 2023

• สภาพความมั่นคงปลอดภัยออนไลน์ของเกาหลีใต้ที่เดินมาถึงทางตัน
• ฉบับแปลภาษาเกาหลีอย่างไม่เป็นทางการของชุดบทความดังกล่าว

ที่เกี่ยวข้องกันนั้น ไม่นานมานี้วงการวิชาการด้านความปลอดภัยของเกาหลีได้เผยแพร่ทั้งบทความวิชาการที่เสริมเนื้อหาข้างต้น และวิดีโอสาธิตการทำเพนเทสต์
เนื้อหานี้มีกำหนดนำเสนอในงานประชุมวิชาการ The 34th USENIX Security Symposium ซึ่งจะจัดขึ้นที่ซีแอตเทิล สหรัฐอเมริกา ในเดือนสิงหาคมนี้

• Too Much of a Good Thing: (In-)Security of Mandatory Security Software for Financial Services in South Korea

• ข่าวประชาสัมพันธ์ของ KAIST เกี่ยวกับบทความวิชาการข้างต้น

• วิดีโอ PoC ที่ขโมยรหัสผ่านโดยดักจับการพิมพ์คีย์บอร์ดของผู้ใช้ผ่านการนำแอป K-security ไปใช้ในทางที่ผิด

• วิดีโอ PoC ที่ฝังมัลแวร์ลงในพีซีของผู้ใช้ที่เข้าถึงบางเว็บไซต์ผ่านการนำแอป K-security ไปใช้ในทางที่ผิด

• บทความของ ZDNet Korea ที่รายงานเนื้อหาของบทความวิชาการข้างต้น

• วิดีโอของ white hacker Normaltic ที่อธิบายเนื้อหาของบทความวิชาการนี้

ในบทความวิชาการนี้เรียกแอป K-security (Korea Security Applications) แบบย่อว่า “KSA” และเรียกยุคที่ทำงานบน ActiveX ว่า v1.0 ส่วนช่วงหลังปี 2015 ที่เปลี่ยนมาเป็นฐาน exe เรียกว่า v2.0

โดยพื้นฐานแล้ว ข้อสรุปว่าตัวโครงสร้างที่บังคับให้ติดตั้ง “โปรแกรมความปลอดภัย” เหล่านี้ลงบนพีซีของผู้ใช้กลับทำให้ความปลอดภัยอ่อนแอลงเสียเอง รวมถึงข้อชี้ปัญหาว่าต่อให้เป็นเช่นนั้นก็ยังไม่ง่ายที่จะยกเลิกทั้งหมดในทันทีเพราะปัญหาเชิงโครงสร้าง ก็แทบไม่ต่างจากชุดบทความของ Wladimir Palant มากนัก

ถ้าจะยกความต่างสักเล็กน้อย อย่างแรกคือในบทความของ Wladimir Palant จะมองไปที่แอปที่ติดตั้งตอนทำธุรกรรมธนาคารเป็นหลัก แต่บทความวิชาการนี้ขยายขอบเขตการวิเคราะห์ไปถึงแอปที่ต้องติดตั้งแบบบังคับเมื่อจะทำธุระบางอย่างที่เกี่ยวกับหน่วยงานภาครัฐด้วย ในงานวิจัยตรวจสอบทั้งหมด 7 ตัว แม้ประเภทของแอป K-security จะเรียกได้ว่าโดยมากก็คล้าย ๆ กันจนมีการปกปิดชื่อบริษัทและชื่อผลิตภัณฑ์ไว้ แต่คนที่พอรู้ก็น่าจะเดาออกคร่าว ๆ ว่าเป็นอะไรบ้าง ไม่ว่าอย่างไร ดูเหมือนว่าพวกเขาจะลองมาหมดแล้ว ทั้งค้นหาช่องโหว่ ทำคีย์ล็อกกิง ลอง remote code execution ค้นหาช่องโหว่หน่วยความจำด้วย fuzzing และลองทำ man-in-the-middle attack

อีกประเด็นที่น่าสนใจคือมีการทำแบบสำรวจออนไลน์กับผู้ใช้ ซึ่งผลสำรวจเผยว่าแทบไม่มีใครในสภาพแวดล้อมออนไลน์ของเกาหลีที่ไม่เคยเจอแอป K-security แต่ในบรรดาผู้ใช้ที่ติดตั้งแอปเหล่านี้ ราว 60% ติดตั้งไปทั้งที่ไม่รู้ด้วยซ้ำว่าแอปนี้จริง ๆ แล้วมีหน้าที่อะไร

ยิ่งไปกว่านั้น ยังมีการรับอาสาสมัครและใช้ Hoax Eliminator v7.25 เพื่อตรวจสอบว่าในพีซีที่คนหนุ่มสาววัยประมาณ 20 ปีใช้งานกันเป็นหลัก มีแอป K-security ติดตั้งอยู่จริงมากแค่ไหน ผลคือโดยเฉลี่ยพบว่ามีแอป K-security ติดตั้งอยู่ประมาณ 9 ตัว และในจำนวนนั้นมีราว 4 ตัวที่อยู่ในขอบเขตแอปซึ่งรวมอยู่ในงานวิจัยครั้งนี้ บนพีซีของอาสาสมัครบางรายตรวจพบมากถึง 24 ตัวด้วยซ้ำ มากกว่าครึ่งของอาสาสมัครติดตั้งแอปเวอร์ชันที่เก่ากว่า 2 ปี และบนพีซีของอาสาสมัครบางรายยังพบแอปเวอร์ชันที่เก่าถึง 5 ปีเมื่อเทียบกับช่วงเวลาที่ทำวิจัย

อย่างน้อยก็ยังน่าขอบคุณมากที่มีคนเผยแพร่เครื่องมือมีประโยชน์อย่าง Tablecloth Project หรือ Hoax Eliminator แต่โดยพื้นฐานแล้วคงดีที่สุดถ้าไม่มีความจำเป็นต้องใช้เครื่องมือแบบนี้ตั้งแต่แรก

ชุดบทวิเคราะห์แอป K-security ของ Wladimir Palant ถูกเผยแพร่ออกมาเมื่อต้นปี 2023 และหลังจากนั้นก็มีการเปิดเผยว่าเกาหลีเหนือเคยใช้แอป K-security เหล่านี้เป็นช่องทางในการแฮ็ก แต่จนถึงตอนนี้ความเปลี่ยนแปลงเชิงรากฐานก็ยังแทบไม่รู้สึกได้ นี่คือความเป็นจริง หวังว่าต่อจากนี้ไปจะได้เห็นความเปลี่ยนแปลงที่เป็นรูปธรรมมากขึ้นเสียที