ข้อมูลสำคัญไม่ได้ถูกลบออกจากหน่วยความจำภายหลังการใช้งาน
Vulnerability Assessment
อธิบาย (Description)
ข้อมูลสำคัญเช่น ชื่อบัญชีผู้ใช้ รหัสผ่าน รหัสบัตรเครติด หมายเลข “CVV” รหัสบัตรประชาชน วันเดือนปีเกิด หรือข้อมูลอื่นที่ใช้สำหรับการพิสูจน์ตัวตน ไม่ว่าจะเป็น กระบวนการลงทะเบียน (Register and Activation page) การ “Login” เข้าใช้งาน กระบวนการยกเลิกและตั้งรหัสผ่านใหม่ (Reset/Forgot password) กระบวนการเปลี่ยนรหัสผ่าน (Change password) และสุดท้ายการเลิกใช้งาน (Logout) ข้อมูลสำคัญเหล่านี้จะยังถูกจัดเก็บอยู่ในตัวแปร (Variable) ถ้าไม่มีการยกเลิกตัวแปร ส่งผลให้ผู้ประสงค์ร้ายอาจจะขโมยข้อมูลเหล่านี้ผ่านตัวแปรต่าง ๆ ไม่ว่าจะเป็นวิธีการดึงจากหน่วยความจำจากคอมพิวเตอร์โดยตรง (Heap dump) หรือการเชื่อมต่อ “Process” ของโปรแกรมนั้น เพื่อดูข้อมูลจากตัวแปรต่าง ๆ (Process injection) เป็นต้น
ปัจจัยที่จะทำให้ประสบความสำเร็จ (Successful factors)
- โปรแกรมยังไม่ได้ถูกล้างออกจากหน่วยความจำ
- สำหรับระบบปฎิบัติการ “iOS” เครื่องถูก “Jailbreak”
- ไม่มีมาตราการป้องกันเครื่องคอมพิวเตอร์ที่ติดตั้งโปรแกรมประเภท “Tick application”
วิธีแก้ไข (Solution)
- ลบข้อมูลสำคัญออกจากตัวแปรภายหลังการใช้งานเสร็จสิ้นและ Logout
- สำหรับข้อมูลสำคัญที่ต้องการความปลอดภัยสูง ถ้าจำเป็นจัดเก็บในหน่วยความจำให้เข้ารหัสเอาไว้