บทวิเคราะห์ | สายชาร์จดูดข้อมูล USB ทำงานยังไง ทำไมถึงน่ากลัว แต่ก็ยังไม่ถึงขั้นดูดเงินธนาคารกันได้ง่าย ๆ

ช่วงนี้กระแสสายล้วงข้อมูล OM.G Cable กลับมาร้อนแรงอีกครั้งแบบงง ๆ จนบางคนก็แห่ตื่นกลัวกันไปหนัก (ตอนนี้มีชื่อเรียกใหม่ว่าสายชาร์จดูดเงินไปแล้ว) ต้องช่วยเท้าความให้สบายใจก่อนว่าจริง ๆ มันไม่ใช่ของใหม่อะไร เริ่มมีมาสักระยะตั้งแต่ปี 2019 แต่ก็จะเห็นเป็นข่าวมาพัก ๆ ถึงพัฒนาการเพิ่มเติมของมัน อย่างช่วงกลางปี 2021 ทาง DroidSans ก็เคยลงข่าวว่าเจ้าสายนี้มีการอัปเกรดฝังชิป Wi-Fi เว็บเซิร์ฟเวอร์และ keylogger แบบใหม่เพิ่มเข้ามา ซึ่งดูแล้วสร้างความน่ากลัวหนักไปอีกขั้น ใครสนใจลองอ่านเพิ่มเติมจากข่าวนี้กันได้

อย่างไรก็ตาม แม้ลูกเล่นมันจะดูพิลึกพิลั่น อ่านสรรพคุณแล้วชวนขนหัวลุกกันไปหมด แต่รู้หรือไม่ว่าของจริงมันอาจไม่เลวร้ายอย่างที่เป็นกระแสขนาดนั้น ย้อนกลับไปในปี 2021 ยูทูปเบอร์สายเทคชื่อดังชื่อว่า Mrwhosetheboss และ David Bombal ได้ทำคลิปทดสอบเจ้าสาย OM.G Cable นี้ทั้งแบบ Lightning และ USB-C ให้ดู ทั้งคู่พบว่ามันใช้แฮ็กได้จริงทั้งเครื่อง Mac, iPad และมือถือ Android ตัวอย่างคร่าว ๆ คือเมื่ออุปกรณ์ทั้ง 3 โดนเสียบสาย เครื่องควบคุมสามารถที่จะส่งลิงก์ URL ไปขึ้นไปบนหน้าจอเครื่องเหยื่อได้ เช่นเพื่อนเปิดคอมนั่งทำงานอยู่ดี ๆ ส่งคลิปมีมเพลง Rick Roll หรือคลิปผีขึ้นไปกวนได้เลย

แต่ Android หนักกว่าหน่อย (เนื่องจากเป็นระบบเปิด) สามารถที่จะโดนสั่งโทรออก สั่งถ่ายรูป คล้ายกับการใช้โปรแกรม remote ระยะไกลอย่างพวก TeamViewer ที่สั่งควบคุมพีซีอีกเครื่องได้ แต่ต้องเป็นกรณีที่เครื่องไม่โดนล็อกอยู่ หน้าจอต้องติดตลอดด้วยเท่านั้น และผู้ใช้ต้องอนุญาตให้สายเส้นนี้เข้าถึงการโอนถ่ายข้อมูลในเครื่องด้วยตัวเอง (ยุคนี้มือถือส่วนใหญ่เสียบแล้วไม่เชื่อมให้ทันที คนใช้ต้องไปแตะเปลี่ยนจากโหมดชาร์จเป็นถ่ายโอนก่อน)

นอกจากเคสที่ว่ามาแล้ว ตอนนี้เจ้าตัวสาย Type-C สำหรับ Android ยังไม่สามารถถึงขั้นสั่งเปิดแอป, เข้าถึงแอปธนาคาร, แอปที่มีการล็อกรหัส หรือเข้าไปล้วงรหัสผ่านที่บันทึกไว้ในเครื่องอะไรได้ สาเหตุเนื่องจากว่าตัว OS และแอปส่วนใหญ่มีระบบป้องกันความปลอดภัยในตัวเองค่อนข้างสูงอยู่ คือเลือกจะไม่โชว์ข้อมูลส่วนสำคัญหรือความลับให้ใครดูง่าย ๆ บางแอปถ้าโชว์หน้าที่ว่าขึ้นจอเมื่อไหร่ เครื่องที่ remote มาจะเห็นได้แค่แบบจอดำ หรือบางหน้าถึงยอมโชว์ก็มักบังคับให้ผู้ใช้ต้องใส่ PIN หรือล็อกรหัสอนุญาตก่อนเข้าหน้านั้นได้อยู่ดี เพื่อใช้กันกรณีแบบนี้โดยเฉพาะ

ถึงสิ่งที่มันทำได้ตอนนี้จะดูน่ากลัวขึ้นเยอะ จนมีกรณีที่น่าเป็นห่วงบ้าง อย่างเช่น หากผู้ใช้ทั่วไปที่ไม่ได้มีความรู้ด้านเทคมากตกเป็นเหยื่อ ไม่ล็อกหน้าจอมือถือ และจด PIN รหัสผ่านเข้าแอปธนาคารไว้ในแอปจดโน้ตที่มีความปลอดภัยต่ำ อันนี้แหละที่น่ากังวล เพราะแฮ็กเกอร์อาจ remote เข้ามาอ่านแล้วล้วงเอาไปกรอกได้ แต่นี่ก็คือเคสเลวร้ายที่สุดที่มันทำได้ ณ ตอนนี้แล้ว หากความสามารถมันไกลเกินกว่านี้อีก วันนี้ข่าวนี้อาจกลายเป็นวาระระดับโลกนอกไทยไปแล้วแน่ ๆ

ส่วนกรณี keylogger ดักแป้น อันนี้บอกฝังมาเพิ่มแล้วก็จริง แต่ยังไม่เห็นมีคนใช้จริงให้ดูอย่างละเอียด มองว่ากรณีนี้จะเกิดได้ก็คือต้องมีการฝังแอปปลอมมาลงเครื่องด้วย เพราะลำพังแป้นพิมพ์ iOS และ Android มันเป็นแป้นเสมือนที่ความปลอดภัยในตัวเองสูงเหมือนกัน คงไม่ได้จะส่งออกข้อมูลมั่วซั่วให้ใครได้ง่าย ๆ (ต่างจากแป้นพิมพ์จริงที่เอาต่อกับคอม อันนั้นอาจดักมาจากตัวฮาร์ดแวร์เลย)

ฉะนั้นกรณีนี้จะเกิดได้หลัก ๆ คือผู้ใช้ต้องไปเปิดให้เครื่องอนุญาตการลงแอปนอกสโตร์ก่อน พอทำแบบนี้สายก็จะสามารถส่งแอปเถื่อนเข้าไปติดตั้ง เท่านั้นยังไม่พอ เราต้องอนุญาตให้แอปมันทำงานได้ตลอดเวลาอีก แม้กระทั่งตอนสลับไปเล่นแอปอื่น มันถึงจะสามารถดักตัวหนังสือระหว่างพิมพ์กรอกรหัสผ่านหรือ PIN ธนาคารได้ ซึ่งบอกเลยว่ามันไม่ง่าย เรียกว่าเราต้องเดินไปเปิดประตูบ้านให้มันเองก่อนหลายชั้นมาก ไม่ใช่เสียบปุ๊บดักแป้นปั๊บได้แบบที่เค้าว่ากันแน่นอน

นอกจากความยากที่จะเข้าเครื่องเหยื่อได้ต้องมีจังหวะที่ดีมาก ๆ แล้ว ความยากอีกอย่างที่บอกไปก็คือ สายเส้นนี้ราคาแพงมาก ต้นทุนอย่างน้อย ๆ คงอยู่ที่ 120-160 เหรียญหรือราว 3,900-5,200 บาทขึ้นไป เนื่องจากชิปที่ฝังมาไม่ใช่ถูก ๆ แทบจะใช้ทำมือถือได้ 1 เครื่อง ไม่รวมว่าต้นทุนค่าออกแบบที่มันทำให้ทุกอย่างเล็กขนาดนั้นได้อีกจะบวกหนักไปเท่าไหร่ คงไม่สามารถเอามาแพร่กระจายตามท้องตลาดนัดได้แน่นอน

สิ่งที่ควรกลัวมากกว่าคือคนใกล้ตัวเรานี่แหละ จะมีคนไหนไม่หวังดี เห็นเรารวยหน่อย เลยแอบลงทุนซื้อส่งมาให้ยืมรึเปล่า ซึ่งก็เป็นสิ่งที่ชวนให้เราต้องระวังตัวเองกันมากขึ้น ฉะนั้นอย่าเชื่อใจใครง่าย ๆ ทางที่ดีควรติดตามดูข้อมูลข่าวสารที่ถูกต้องเกี่ยวกับเจ้าสายนี้ไว้เป็นประจำเรื่อย ๆ จะได้เห็นพัฒนาการของมัน และเข้าใจหลักการของมันไว้ ทำให้เราไม่ต้องตกเป็นเหยื่อของแฮ็กเกอร์และผู้ไม่หวังดีครับ

เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว และสามารถจัดการความเป็นส่วนตัวเองได้ของคุณได้เองโดยคลิกที่ ตั้งค่า

ตั้งค่าความเป็นส่วนตัว

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

ยอมรับทั้งหมด
จัดการความเป็นส่วนตัว
  • เปิดใช้งานตลอด

บันทึกการตั้งค่า
%d bloggers like this: