เช็กข่าวชัวร์ : Smart Watch เสี่ยงถูกแฮ็ก บัตรเครดิต-ธุรกรรม ผ่านBluetooth จริงหรือไม่?
เช็กข่าวชัวร์! ใช้ Smart Watch เสี่ยงถูกแฮ็กข้อมูลบัตรเครดิต-ธุรกรรม ผ่านสัญญาณ Bluetooth จริงหรือไม่?
ในช่วงที่ผ่านมา มีการส่งต่อข้อมูลในโลกโซเชียลที่สร้างความกังวลให้กับผู้ใช้งานสมาร์ตวอตช์ (Smart Watch) โดยอ้างว่าแฮ็กเกอร์สามารถดักจับสัญญาณที่เชื่อมต่อกับโทรศัพท์มือถือ เพื่อขโมยข้อมูลธุรกรรมทางการเงินและข้อมูลบัตรเครดิตได้โดยง่าย
ประเด็นดังกล่าวสร้างความสับสนและตื่นตระหนกเป็นวงกว้าง กองบรรณาธิการ Sanook News จึงได้ทำการตรวจสอบข้อเท็จจริงในเรื่องนี้ เพื่อไขข้อข้องใจให้กับประชาชน
คำถาม
ข้อกล่าวอ้างที่ว่า แฮ็กเกอร์สามารถแฮ็กข้อมูลธุรกรรมและบัตรเครดิตจากสัญญาณ Bluetooth ของ Smart Watch ที่เชื่อมต่อกับมือถือได้โดยง่าย นั้นเป็นความจริงหรือไม่?
การตรวจสอบ
กองบรรณาธิการ Sanook News ได้ตรวจสอบหลักการทำงานและความปลอดภัยของเทคโนโลยีที่ใช้ในสมาร์ตวอตช์ พบข้อมูลดังต่อไปนี้
การเชื่อมต่อไม่ใช่ "Beacon" แต่เป็น "GATT"
ข้อมูลที่ระบุว่าการเชื่อมต่อระหว่างสมาร์ตวอตช์และสมาร์ตโฟนเรียกว่า "Beacon" นั้นเป็นความเข้าใจที่คลาดเคลื่อน ในความเป็นจริง Beacon เป็นเทคโนโลยีสำหรับการส่งสัญญาณแบบทางเดียว (Broadcast) เพื่อกระจายข้อมูลสาธารณะ เช่น การแจ้งโปรโมชันในห้างสรรพสินค้า
แต่การเชื่อมต่อของสมาร์ตวอตช์ส่วนใหญ่ใช้เทคโนโลยี Bluetooth Low Energy (BLE) ผ่านโปรโตคอลที่เรียกว่า GATT (Generic Attribute Profile) ซึ่งเป็นการสื่อสารแบบสองทาง (Two-way) และมีการเข้ารหัสข้อมูลเพื่อความปลอดภัย ไม่ใช่การส่งข้อมูลแบบเปิดโล่ง
การแฮ็กข้อมูลบัตรเครดิต "แทบเป็นไปไม่ได้"
การที่แฮ็กเกอร์จะดักจับสัญญาณ Bluetooth แล้วได้ข้อมูลบัตรเครดิตหรือข้อมูลธุรกรรมไปโดยตรงนั้น "เกินจริง" และแทบเป็นไปไม่ได้ในทางปฏิบัติ
เนื่องจากการชำระเงินผ่านสมาร์ตวอตช์ (เช่น Apple Pay, Google Pay) ใช้เทคโนโลยีที่เรียกว่า "Tokenization" ซึ่งจะส่ง "รหัสตัวแทน" (Token) แบบใช้ครั้งเดียวไปที่เครื่องรูดบัตรแทนการส่ง "เลขบัตรเครดิตจริง" แม้แฮ็กเกอร์ดักจับ Token นี้ได้ ก็ไม่สามารถนำไปใช้ซ้ำหรือถอดรหัสกลับเป็นเลขบัตรจริงได้
ความเสี่ยงที่เกิดขึ้นจริง (แต่มีเงื่อนไข)
แม้การดักสัญญาณจะทำได้ยาก แต่ความเสี่ยงยังคงมีอยู่ หากผู้ใช้มีพฤติกรรมที่ไม่ปลอดภัย หรือซอฟต์แวร์มีช่องโหว่ เช่น
1. ไม่อัปเดตซอฟต์แวร์: ผู้ผลิตมักออกอัปเดตเพื่อปิดช่องโหว่ความปลอดภัยของ Bluetooth หากไม่อัปเดต ก็จะยังคงมีความเสี่ยง
2. การจับคู่กับอุปกรณ์แปลกปลอม: หากผู้ใช้กดยอมรับการจับคู่ (Pairing) กับอุปกรณ์ที่ไม่รู้จัก แฮ็กเกอร์อาจสามารถเข้าถึงข้อมูลบางอย่างได้ (แต่ต้องอาศัยการกดยอมรับจากผู้ใช้)
3. การติดตั้งแอปพลิเคชันจากแหล่งที่ไม่น่าเชื่อถือ: การติดตั้งแอปฯ นอก App Store หรือ Play Store (เช่น ไฟล์ APK) อาจมีมัลแวร์แฝงมา ซึ่งมุ่งโจมตีที่โทรศัพท์มือถือก่อน แล้วจึงเข้าถึงข้อมูลที่ส่งไปยังวอตช์
4. การใช้รหัสผ่านหน้าจอที่คาดเดาง่าย: หาก Smart Watch ถูกขโมย และผู้ใช้ไม่ได้ตั้งค่ารหัสล็อกหน้าจอ (PIN) หรือตั้งรหัสที่ง่ายเกินไป คนร้ายอาจเข้าถึงข้อมูลที่แสดงบนหน้าจอได้
ข้อเท็จจริง
ข้อกล่าวอ้างที่ว่า แฮ็กเกอร์สามารถแฮ็กข้อมูลบัตรเครดิตจากสัญญาณ Smart Watch ได้โดยง่ายนั้น "ไม่เป็นความจริง และสร้างความเข้าใจผิด"
เทคโนโลยีการเชื่อมต่อและการชำระเงินในปัจจุบัน (GATT และ Tokenization) มีความปลอดภัยสูง การดักจับสัญญาณ Bluetooth เพียงอย่างเดียว ไม่เพียงพอต่อการขโมยข้อมูลทางการเงินที่ละเอียดอ่อน ความเสี่ยงที่แท้จริงมักเกิดจากพฤติกรรมของผู้ใช้ (เช่น การติดตั้งแอปฯ เถื่อน การกดยอมรับการจับคู่มั่ว) หรือการไม่อัปเดตซอฟต์แวร์ให้เป็นปัจจุบันมากกว่า