เผยช่องโหว่ร้ายแรงใน WhatsApp และ Signal เสี่ยงถูก “ดักจับพิกัด-สูบแบตฯ เกลี้ยง” โดยที่เหยื่อไม่รู้ตัว
ในยุคที่ความเป็นส่วนตัวบนโลกดิจิทัลเปรียบเสมือนป้อมปราการด่านสุดท้าย ล่าสุดกำแพงนั้นอาจกำลังสั่นคลอนเมื่อมีการเปิดเผยช่องโหว่ร้ายแรงในแอปพลิเคชันสนทนายอดนิยมระดับโลกอย่าง WhatsApp และ Signal ที่มีฐานผู้ใช้งานรวมกันกว่า 3 พันล้านคน เมื่อนักวิจัยด้านความปลอดภัยได้ค้นพบเครื่องมืออันตรายที่ถูกเผยแพร่ให้ดาวน์โหลดได้ฟรีบน GitHub ซึ่งเปิดช่องให้ผู้ไม่หวังดีสามารถเจาะระบบเพื่อดักจับข้อมูลพิกัดทางอ้อมและสร้างความเสียหายต่ออุปกรณ์ของผู้ใช้ได้เพียงแค่รู้หมายเลขโทรศัพท์เท่านั้น
ภัยคุกคามรูปแบบใหม่นี้ถูกขนานนามว่า Silent Whisper ซึ่งมีกลไกการทำงานที่แยบยลจนน่าตกใจ โดยแฮกเกอร์จะส่งคำสั่งในรูปแบบของการกดแสดงความรู้สึกหรือ Reaction ไปยังข้อความที่ไม่มีอยู่จริงบนเครื่องของเหยื่อ เพื่อกระตุ้นให้อุปกรณ์เป้าหมายตอบสนองกลับมาโดยอัตโนมัติในระดับพื้นหลัง กระบวนการทั้งหมดนี้เกิดขึ้นอย่างเงียบเชียบโดยไม่มีการแจ้งเตือนใดๆ ปรากฏบนหน้าจอ ทำให้เหยื่อไม่มีทางรู้ตัวเลยว่าโทรศัพท์ในมือของตนกำลังถูกเปลี่ยนให้กลายเป็นเครื่องส่งสัญญาณบอกตำแหน่งให้กับคนแปลกหน้า ซึ่งแฮกเกอร์สามารถส่งคำสั่งระดมยิงใส่เครื่องเป้าหมายได้ถี่ถึง 20 ครั้งต่อวินาทีเพื่อวัดค่าความหน่วงของสัญญาณที่แม่นยำที่สุด
สิ่งที่น่ากังวลยิ่งกว่าคือข้อมูลที่แฮกเกอร์ได้รับกลับไปนั้นสามารถนำมาวิเคราะห์พฤติกรรมในชีวิตประจำวันของเหยื่อได้อย่างละเอียดลออ จากการวิเคราะห์ความเร็วในการตอบสนองของสัญญาณ ผู้โจมตีจะสามารถแยกแยะได้ทันทีว่าเหยื่อกำลังเชื่อมต่อ Wi-Fi อยู่ที่บ้าน กำลังเดินทางโดยใช้สัญญาณมือถือ หรือแม้กระทั่งคาดเดาเวลานอนและเวลาตื่นได้จากการสังเกตช่วงเวลาที่อุปกรณ์หยุดการตอบสนองหรือถูกปิดใช้งาน ซึ่งนับเป็นการละเมิดความเป็นส่วนตัวขั้นรุนแรงที่แปรสภาพข้อมูลทางเทคนิคให้กลายเป็นข้อมูลพฤติกรรมส่วนบุคคล
ผลกระทบของช่องโหว่นี้ไม่ได้หยุดอยู่แค่เรื่องข้อมูลรั่วไหล แต่ยังส่งผลร้ายแรงต่อตัวเครื่องโดยตรงในลักษณะของการโจมตีเพื่อกวนระบบ จากผลการทดสอบพบว่าการระดมส่งคำสั่งดังกล่าวสามารถผลาญพลังงานแบตเตอรี่ของสมาร์ทโฟนรุ่นเรือธงอย่าง iPhone หรือ Samsung Galaxy ให้ลดฮวบลงได้ถึง 15-18 เปอร์เซ็นต์ภายในเวลาเพียงหนึ่งชั่วโมง ทั้งที่หน้าจอยังดับอยู่ นอกจากนี้ยังทำให้ปริมาณการใช้งานอินเทอร์เน็ตพุ่งสูงขึ้นอย่างผิดปกติ ซึ่งอาจสร้างภาระค่าใช้จ่ายให้กับผู้ใช้งานที่ไม่ได้ใช้แพ็กเกจอินเทอร์เน็ตแบบไม่จำกัดโดยไม่รู้สาเหตุ
สำหรับแนวทางการป้องกันตนเองในเบื้องต้นก่อนที่ทางผู้ให้บริการจะออกแพตช์แก้ไขถาวร ผู้ใช้งาน WhatsApp สามารถเข้าไปตั้งค่าความเป็นส่วนตัวในหมวดขั้นสูง โดยเลือกเปิดฟีเจอร์บล็อกข้อความจากบัญชีที่ไม่รู้จัก เพื่อช่วยกรองการโจมตีปริมาณมากจากเบอร์แปลกหน้า
ในขณะที่ผู้ใช้ Signal ควรปรับตั้งค่าปิดการแจ้งเตือนสถานะการอ่านและสถานะกำลังพิมพ์ เพื่อลดโอกาสที่ข้อมูลจะถูกส่งตอบกลับไปหาผู้ไม่หวังดี แม้ว่าเครื่องมือนี้จะถูกสร้างขึ้นเพื่อการศึกษาวิจัย แต่ในโลกความเป็นจริงมันคือสัญญาณเตือนให้เราต้องตระหนักว่า แม้แต่ในแอปฯ ที่ขึ้นชื่อเรื่องความปลอดภัย ก็อาจมีช่องโหว่ที่คาดไม่ถึงซ่อนอยู่เสมอ