TH
TH
เกี่ยวกับเรา
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
ข่าว
ซอฟต์แวร์
ช่องโหว่ศูนย์วัน

ช่องโหว่ SQL Injection เปิดเผยข้อมูลผู้ใช้ Stalkerware กว่า 62,000 รายในรูปแบบข้อความธรรมดา

ทีมชุมชน BigGo
ช่องโหว่ SQL Injection เปิดเผยข้อมูลผู้ใช้ Stalkerware กว่า 62,000 รายในรูปแบบข้อความธรรมดา

นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ SQL injection ที่มีความรุนแรงสูงใน Catwatchful ซึ่งเป็นบริการ stalkerware ที่ช่วยให้สามารถเฝ้าระวังอุปกรณ์ Android ได้อย่างสมบูรณ์ การละเมิดนี้ทำให้ข้อมูลการเข้าสู่ระบบของผู้ใช้ประมาณ 62,000 ราย ถูกเปิดเผย โดยข้อมูลทั้งหมดถูกเก็บไว้ในรูปแบบข้อความธรรมดาโดยไม่มีการเข้ารหัสใดๆ

รายละเอียดทางเทคนิค:

  • ประเภทช่องโหว่: SQL Injection (ทั้งแบบ time-based blind และ UNION query)
  • ฐานข้อมูล: MySQL ที่มีข้อมูลผู้ใช้ 62,650 รายการ
  • ข้อมูลที่รั่วไหล: User ID, Firebase UID, รหัสผ่านในรูปแบบ plain text
  • เครื่องมือที่ใช้: sqlmap สำหรับการโจมตีแบบอัตโนมัติ
  • โครงสร้างพื้นฐาน: Firebase สำหรับการจัดเก็บไฟล์, PHP backend แบบกำหนดเองสำหรับการจัดการผู้ใช้

พลังของเครื่องมือแฮกสมัยใหม่

การค้นพบนี้เน้นย้ำให้เห็นว่าเครื่องมือความปลอดภัยแบบอัตโนมัติที่ซับซ้อนได้พัฒนาไปแค่ไหนแล้ว ด้วยการใช้ sqlmap ซึ่งเป็นเครื่องมือทดสอบการเจาะระบบที่ได้รับความนิยม นักวิจัยสามารถระบุและใช้ประโยชน์จากช่องโหว่นี้ได้ด้วยความพยายามเพียงเล็กน้อย ชุมชนแสดงความประหลาดใจต่อประสิทธิภาพของเครื่องมือเหล่านี้ โดยหลายคนสังเกตว่าคุณสามารถให้ URL เพียงอย่างเดียว และซอฟต์แวร์จะหาวิธีดึงเนื้อหาฐานข้อมูลออกมาโดยอัตโนมัติหากมีช่องโหว่อยู่

สิ่งนี้แสดงถึงการเปลี่ยนแปลงที่สำคัญจากยุคก่อนหน้านี้ที่การโจมตี SQL injection ต้องใช้งานด้วยตนเองอย่างมาก การทำให้กระบวนการเหล่านี้เป็นแบบอัตโนมัติหมายความว่าแม้แต่ข้อบกพร่องด้านความปลอดภัยพื้นฐานก็สามารถถูกใช้ประโยชน์ได้อย่างรวดเร็วและครอบคลุมโดยทั้งนักวิจัยด้านความปลอดภัยและผู้ที่มีเจตนาร้าย

จุดบอดด้านความปลอดภัยของนักพัฒนา

เหตุการณ์นี้เผยให้เห็นรูปแบบที่น่าเป็นห่วงในการพัฒนาซอฟต์แวร์ที่โปรแกรมเมอร์ที่มีทักษะทางเทคนิคสร้างแอปพลิเคชันที่ซับซ้อน แต่กลับทำความผิดพลาดด้านความปลอดภัยขั้นพื้นฐาน แม้จะสร้างแพลตฟอร์ม stalkerware ที่ซับซ้อนพร้อมฟีเจอร์ขั้นสูงเช่นการถ่ายภาพแบบเรียลไทม์และการทำงานแบบลับๆ แต่นักพัฒนากลับเก็บรหัสผ่านผู้ใช้ในรูปแบบข้อความธรรมดาและไม่สามารถทำความสะอาดข้อมูลป้อนเข้าฐานข้อมูลได้อย่างเหมาะสม

ความไม่เชื่อมโยงระหว่างความสามารถทางเทคนิคและความตระหนักด้านความปลอดภัยนี้ดูเหมือนจะเป็นเรื่องธรรมดาในชุมชนนักพัฒนา โปรแกรมเมอร์ที่มีความสามารถหลายคนขาดการฝึกอบรมด้านความปลอดภัยหรือแนวคิดในการพิจารณาว่าระบบของพวกเขาอาจถูกโจมตีได้อย่างไร ความรีบร้อนในการออกสู่ตลาดมักจะมีความสำคัญมากกว่าการนำมาตรการความปลอดภัยที่เหมาะสมมาใช้

ผลกระทบทางกฎหมายและจริยธรรม

การตัดสินใจของนักวิจัยที่จะบันทึกกระบวนการแฮกอย่างเปิดเผยต่อสาธารณะได้จุดประกายการถกเถียงเกี่ยวกับความเสี่ยงทางกฎหมายที่เกี่ยวข้อง แม้ว่าเป้าหมายจะเป็นการดำเนินงาน stalkerware ที่ผิดกฎหมายอย่างชัดเจน แต่การเข้าถึงระบบคอมพิวเตอร์โดยไม่ได้รับอนุญาตยังคงเป็นอาชญากรรมในเขตอำนาจศาลส่วนใหญ่ สมาชิกชุมชนบางคนกังวลเกี่ยวกับการตอบโต้ทางกฎหมายที่อาจเกิดขึ้น แม้ว่าคนอื่นๆ จะโต้แย้งว่าผู้ดำเนินการบริการผิดกฎหมายไม่น่าจะดำเนินการทางกฎหมายที่จะดึงดูดความสนใจไปยังกิจกรรมของพวกเขา

คดีนี้ยังทำให้เกิดคำถามเกี่ยวกับการเปิดเผยอย่างรับผิดชอบเมื่อต้องจัดการกับบริการที่เป็นอันตรายอย่างชัดเจน การแฮกแบบ white-hat แบบดั้งเดิมเกี่ยวข้องกับการแจ้งบริษัทเป็นการส่วนตัวก่อนการเปิดเผยต่อสาธารณะ แต่แนวทางนี้กลายเป็นเรื่องซับซ้อนเมื่อบริการนั้นเองอำนวยความสะดวกในการเฝ้าระวังและการสะกดรอยตามที่ผิดกฎหมาย

ไทม์ไลน์การโจมตี:

  • 2025-06-09: ค้นพบช่องโหว่
  • 2025-06-23: ติดต่อ Google เพิ่มแฟล็ก Safe Browsing
  • 2025-06-25: ติดต่อผู้ให้บริการโฮสติ้ง บริการหยุดชั่วคราว
  • 2025-06-26: เปิดบริการใหม่พร้อมแก้ไขช่องโหว่แล้ว
  • 2025-07-02: เปิดเผยต่อสาธารณะ

ปัญหา Stalkerware ในวงกว้าง

การละเมิดนี้เป็นเพียงตัวอย่างหนึ่งของอุตสาหกรรม stalkerware ที่เติบโตขึ้นซึ่งดำเนินการในพื้นที่สีเทาทางกฎหมาย แอปพลิเคชันเหล่านี้ถูกทำการตลาดเพื่อวัตถุประสงค์ที่ถูกต้องตามกฎหมายเช่นการตรวจสอบของผู้ปกครอง แต่มักถูกใช้สำหรับการละเมิดในครอบครัวและการสะกดรอยตาม ลักษณะที่ซับซ้อนของ stalkerware สมัยใหม่ รวมกับแนวปฏิบัติด้านความปลอดภัยที่ไม่ดีของนักพัฒนา สร้างความเสี่ยงที่สำคัญสำหรับทั้งเหยื่อและผู้ใช้

เหตุการณ์นี้แสดงให้เห็นว่าแม้แต่บริการผิดกฎหมายก็พึ่งพาโครงสร้างพื้นฐานคลาวด์หลัก โดยการดำเนินงานเฉพาะนี้ใช้แพลตฟอร์ม Firebase ของ Google สำหรับการจัดเก็บข้อมูล การพึ่งพาบริการที่ถูกต้องตามกฎหมายนี้ให้จุดแทรกแซงที่เป็นไปได้สำหรับหน่วยงานบังคับใช้กฎหมายและผู้ให้บริการแพลตฟอร์ม

การเปิดเผยบัญชีผู้ใช้ 62,000 รายทำหน้าที่เป็นการเตือนใจว่าผู้ที่มีส่วนร่วมในกิจกรรมการเฝ้าระวังนั้นตัวเองก็มีความเสี่ยงที่จะถูกเปิดเผยกิจกรรมของพวกเขา ในกรณีนี้ นักล่าได้กลายเป็นเหยื่อผ่านข้อบกพร่องด้านความปลอดภัยที่เรียบง่ายแต่ทำลายล้างมาก

อ้างอิง: Taking over 60k spyware user accounts with SQL injection

ข่าวที่เกี่ยวข้อง