สายชาร์จใช้แฮกได้จริงหรือ?

28/02/2023 | 1414

การขโมยข้อมูลผ่านสายเชื่อมต่อในรูปแบบต่าง ๆ นั้นไม่ใช่เรื่องใหม่ ที่ผ่านมาหลายองค์กรจากหลายประเทศเคยออกคำเตือนเกี่ยวกับการดูดข้อมูลหรือฝังมัลแวร์ผ่านสายชาร์จหรือจุดชาร์จอุปกรณ์ในที่สาธารณะหรือที่เรียกว่า Juice Jacking

คณะกรรมการการสื่อสารของสหรัฐอเมริกา (FCC) เคยออกมาเตือนว่าอาชญากรไซเบอร์อาจฝังมัลแวร์ไว้ตามพอร์ต USB สาธารณะ หรือแกล้งทิ้งสายชาร์จไว้ตามจุดชาร์จต่าง ๆ ในพื้นที่สาธารณะเพื่อล่อให้เหยื่อมาใช้งาน หรือแม้แต่อาจแจกสายชาร์จประเภทนี้ตามที่ต่าง ๆ ก็เป็นได้

อย่างไรก็ดี ในปัจจุบันผู้ผลิตซอฟต์แวร์ของอุปกรณ์ต่าง ๆ และผู้พัฒนาระบบปฏิบัติการที่ใช้กันอยู่อย่างแพร่หลายก็ได้ทำการแก้ไขมาหลายปีแล้ว โดยเฉพาะการทำให้อุปกรณ์หรือสายเคเบิลที่เชื่อมกับอุปกรณ์จะต้องได้รับความยินยอมจากเจ้าของเครื่องก่อนถึงจะเข้าไปถ่ายโอนข้อมูลมาจากตัวเครื่องได้

แต่สำหรับในกรณีที่เป็นข่าวอยู่คือการที่ผู้เสียหายเสียบสายชาร์จอยู่ที่บ้านของตัวเอง พร้อมยืนยันว่าไม่เคยตอบตกลงอะไรที่ตัวเองไม่รู้จัก ถือว่าเป็นเรื่องที่แทบไม่เคยมีใครได้ยินมาก่อน

ตำรวจสอบสวนกลางเผยผ่านเพจทางการบน Facebook ว่าปัจจุบันมีการพบสายชาร์จมือถือที่แฝงตัว Access Point ที่เปิดช่องให้ผู้ไม่หวังดีเจาะเข้าอุปกรณ์ของเหยื่อจากระยะไกลจนสามารถขโมยข้อมูลส่วนบุคคล โดยเฉพาะข้อมูลทางการเงิน หรือแฝงมัลแวร์ได้ สายชาร์จประเภทนี้มีหลากหลายรูปแบบทั้ง Micro-USB, USB-C และ Lighting

สายที่ว่านี้มีหน้าตาเป็นอย่างไร?

นรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล อุปนายกสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ ให้ข้อมูลกับสำนักข่าว PPTV ว่าการแยกแยะสายชาร์จเหล่านี้ออกจากสายชาร์จปกติทำได้ยากหากไม่ใช่ผู้เชี่ยวชาญ สายประเภทนี้ส่วนใหญ่จะขายบนโลกออนไลน์ ราคาเริ่มต้นเป็นหลักหลายพันบาท ผู้ที่จะก่อเหตุด้วยสายประเภทนี้มักจะมีเป้าหมายเฉพาะอยู่แล้ว

ตัวอย่างของสายชาร์จประเภทนี้ที่โดดเด่นที่สุดคือสาย O.MG ที่ได้รับการพัฒนาโดย ไมค์ โกรเวอร์ (Mike Grover) หรือนามแฝงคือ MG ที่มีการฝังอุปกรณ์ที่สามารถสร้างฮอตสปอตกระจายสัญญาณไวไฟ (WiFi Hotspot) จะช่วยให้แฮกเกอร์สามารถเชื่อมต่อกับอุปกรณ์ของตัวเองเพื่อดักจับข้อมูลทุกอย่างที่เหยื่อพิมพ์ลงบนอุปกรณ์ที่เชื่อมกับสายชาร์จนั้นได้ ซึ่งเป็นการทำงานเหมือนกับ Keylogger หรืออุปกรณ์เก็บข้อมูล


                               ตัวอย่างสาย O.MG ที่ขายอยู่บนโลกออนไลน์ ราคาอยู่ที่ 119.90 เหรียญ หรือประมาณ 3,974 บาท (ที่มา: Hak5)

โดยข้อมูลที่ดักเก็บมาได้จากสายชาร์จจะไปปรากฎอยู่ในหน้าจออุปกรณ์ของอาชญากรแบบเรียลไทม์

อย่างไรก็ดี แม้ว่า MG จะระบุว่าสายชนิดนี้สามารถใช้แฮกจากระยะไกลได้ แต่ในการทดสอบของเว็บไซต์ Motherboard นั้นพบว่าผู้ที่จะแฮกอุปกรณ์ของเหยื่อผ่านสายชาร์จ O.MG จะต้องอยู่ในระยะไม่ไกลจากเป้าหมาย

ทั้งนี้ ก็ไม่ได้แปลว่าจะไม่มีความเป็นไปได้เลยที่จะไม่สามารถโจมตีระยะไกลได้ เนื่องจากอย่างที่ระบุไปก่อนหน้าว่าสาย O.MG เป็นเพียงตัวอย่างของสายประเภทนี้เท่านั้น ยังมีความเป็นไปได้ว่ามีสายอีกมากที่อาจจะมีประสิทธิภาพสูงยิ่งกว่านี้

ซึ่งหากสายประเภทนี้คือสายที่เหยื่อที่ปรากฎอยู่ในข่าวใช้จริง ก็อาจเป็นไปได้ว่าแฮกเกอร์อาจเก็บข้อมูลรหัสผ่านของแอปธนาคารที่เหยื่อป้อนเข้าไป จากนั้นรอเวลาที่เหยื่อไม่ได้ใช้เครื่อง เพื่อล็อกอินเข้าไปยังแอปธนาคารไปโอนเงินของเหยื่อออกไปยังบัญชีของตัวเองในที่สุด แต่มีข้อแม้ว่าผู้ก่อเหตุจะต้องอยู่ในระยะที่ใกล้กับอุปกรณ์ของเหยื่อ