Sensitive Information Kept in Memory

ข้อมูลสำคัญไม่ได้ถูกลบออกจากหน่วยความจำภายหลังการใช้งาน

Vulnerability Assessment

อธิบาย (Description)

ข้อมูลสำคัญเช่น ชื่อบัญชีผู้ใช้ รหัสผ่าน รหัสบัตรเครติด หมายเลข “CVV”  รหัสบัตรประชาชน วันเดือนปีเกิด หรือข้อมูลอื่นที่ใช้สำหรับการพิสูจน์ตัวตน ไม่ว่าจะเป็น กระบวนการลงทะเบียน (Register and Activation page) การ “Login” เข้าใช้งาน กระบวนการยกเลิกและตั้งรหัสผ่านใหม่ (Reset/Forgot password) กระบวนการเปลี่ยนรหัสผ่าน (Change password) และสุดท้ายการเลิกใช้งาน (Logout) ข้อมูลสำคัญเหล่านี้จะยังถูกจัดเก็บอยู่ในตัวแปร (Variable) ถ้าไม่มีการยกเลิกตัวแปร ส่งผลให้ผู้ประสงค์ร้ายอาจจะขโมยข้อมูลเหล่านี้ผ่านตัวแปรต่าง ๆ ไม่ว่าจะเป็นวิธีการดึงจากหน่วยความจำจากคอมพิวเตอร์โดยตรง (Heap dump) หรือการเชื่อมต่อ “Process” ของโปรแกรมนั้น เพื่อดูข้อมูลจากตัวแปรต่าง ๆ (Process injection) เป็นต้น

ปัจจัยที่จะทำให้ประสบความสำเร็จ (Successful factors)

  • โปรแกรมยังไม่ได้ถูกล้างออกจากหน่วยความจำ
  • สำหรับระบบปฎิบัติการ “iOS” เครื่องถูก “Jailbreak”
  • ไม่มีมาตราการป้องกันเครื่องคอมพิวเตอร์ที่ติดตั้งโปรแกรมประเภท “Tick application”

วิธีแก้ไข (Solution)

  • ลบข้อมูลสำคัญออกจากตัวแปรภายหลังการใช้งานเสร็จสิ้นและ Logout
  • สำหรับข้อมูลสำคัญที่ต้องการความปลอดภัยสูง  ถ้าจำเป็นจัดเก็บในหน่วยความจำให้เข้ารหัสเอาไว้

เพิ่มเติม
How to find the sensitive information in memory

ใส่ความเห็น