กูรูไซเบอร์ซีเคียวริตี้วิเคราะห์ ทำไมผู้ใช้ลบแอปฯ Fineasy ไม่ได้
กูรูไซเบอร์ซีเคียวริตี้ตั้งข้อสังเกต ทำไมต้องฝังแอปฯ Fineasy ไว้ในระบบ และไม่ให้ผู้ใช้ลบแอปฯนี้ได้ แถมยังมีสิทธิ์การเข้าถึงที่มากเกินไป ทั้งที่เป็นเพียงแค่ Bloatware หรือแอปฯส่วนเกินที่ผู้ผลิตเตรียมไว้เพื่ออำนวยความสะดวกผู้ใช้เท่านั้น
จากกรณีที่ผู้ผลิตสมาร์ตโฟนแบรนด์ OPPO และ realme ได้ติดตั้งแอปพลิเคชั่น Fineasy เพื่อนำเสนอบริการด้านการเงินให้กับผู้ใช้ แต่ผู้ใช้ที่ไม่ต้องการแอปฯนี้ กลับไม่สามารถลบแอปฯนี้ออกไปจากเครื่องได้ ส่งผลให้มีผู้ใช้ที่ได้รับผลกระทบเป็นจำนวนมาก
ซึ่งล่าสุดทั้ง OPPO และ realme ก็ประกาศว่าแอปฯ Fineasy ได้ออกประกาศภายในแอปฯ เพื่อระงับการให้บริการแล้ว และตั้งแต่วันที่ 16 มกราคม 2568 ผู้ใช้งานสมาร์ตโฟนจะได้รับการอัปเดต OTA (Over-the-Air) ซึ่งเป็นเวอร์ชันระบบใหม่ที่ไม่มีการติดตั้งแอปฯ Fineasy อีกต่อไป นอกจากนี้ตั้งแต่วันที่ 14 มกราคมเป็นต้นไป จะหยุดการติดตั้งแอปฯ ล่วงหน้าของแอปฯ สินเชื่อของบุคคลที่สามทั้งหมดในอุปกรณ์ของ OPPO และ realme
อย่างไรก็ตาม ยังมีข้อสังเกตว่า ข้อเท็จจริงของการฝังแอปฯ Fineasy เข้าไว้ในระบบ โดยไม่ให้ผู้ใช้ลบแอปฯ นี้ได้คืออะไร ตลอดจนการขอสิทธิ์การเข้าถึงที่มากเกินไป เนื่องจาก Fineasy ถูกจัดเป็นแอปฯ ประเภท Bloatware หรือแอปฯ ส่วนเกิน ที่ผู้ผลิตเตรียมไว้เพื่ออำนวยความสะดวกผู้ใช้เท่านั้น ซึ่งปกติแล้วผู้ใช้สามารถลบหรือปิดการใช้งานได้ หากคิดว่าแอปฯ นั้นไม่มีความจำเป็นกับตัวเอง
ดร.วารินทร์ แคร่า ประธานเจ้าหน้าที่บริหาร สายงานยุทธศาสตร์องค์กร บริษัท คลาวด์เซค เอเซีย จำกัด ให้ความเห็นว่า Bloatware คือแอปฯ หรือซอฟต์แวร์ที่ติดมากับอุปกรณ์แบบไม่ได้ขอ แอปฯเหล่านี้บางทีก็มีประโยชน์ แต่บางครั้งก็กินพื้นที่เครื่องเฉย ๆ หรือทำให้เครื่องช้าลง โดยส่วนมากมักจะเป็นแอปฯ ที่ผู้ผลิตใส่เข้ามาหรือมาจากพาร์ทเนอร์
ซึ่งที่จริงแล้ว Bloatware นั้นมีอยู่ในเกือบทุกระบบปฏิบัติการ สามารถประเมินได้จากพฤติกรรมของผู้ใช้ เช่น แอปฯ Watch, แอปฯ สภาพอากาศ จนถึงแอปฯ ดูราคาหุ้น ถ้าผู้ใช้ไม่ได้ใช้งานก็สามารถถูกจัดให้เป็นแอปฯประเภท Bloatware ได้เช่นกัน
Bloatware จะแตกต่างจากแอปฯที่เป็น Utility โดย Utility จะเป็นแอปฯที่ช่วยให้ชีวิตง่ายขึ้น เช่น แอปฯทำความสะอาดเครื่องหรือจัดการไฟล์ในเครื่อง ส่วน Bloatware คือแอปที่รู้สึกว่า “ไม่จำเป็นเลย” หรือ “ลบทิ้งไปก็ไม่มีผลอะไร” ซึ่ง Bloatware ส่วนใหญ่ผู้ใช้จะสามารถลบทิ้งได้ ไม่มีการดาวน์โหลดมาติดตั้งอัตโนมัติ
“ในอดีตเรื่องนี้ถือเป็นเรื่องปกติ หลายบริษัทเลือกใช้โมเดลนี้ แต่ที่เป็นเรื่องใหญ่ตอนนี้เพราะผู้ผลิตมือถือ ได้เปิดทางให้ third party รายเดียว และเป็นบริการทางด้านการเงินซึ่งมีแนวโน้มจะก่อให้เกิดความเสียหายได้”
“สิ่งที่น่ากังวลของกรณี Fineasy ในสมาร์ตโฟนของ OPPO และ realme คือการปรับแต่งจากระบบปฏิบัติการ Android ที่เป็น native โดยเติมแอปฯของตัวเองหรือของ third party เข้าไป ซึ่งในกรณีนี้เป็นการใส่แอปฯที่เกี่ยวกับบริการทางการเงินเพื่อเปิดทางให้พันธมิตร ซึ่งที่ผ่านมาไม่มีใครทำลักษณะนี้ ทำให้เกิดคำถามว่า จะเปิดทางให้กับพันธมิตรรายเดียวในลักษณะนี้ไปเพื่ออะไร และใครได้ผลประโยชน์ อีกทั้งการที่ไม่สามารถ Uninstall ได้ถือเป็นเรื่องแปลก เพราะเป็นการนำแอปฯไป Hardcode ไว้ในระบบปฏิบัติการ ในมุมมองส่วนตัวคิดว่าควรจะต้องมีการสอบสวนเพิ่มเติม”
ดร.วารินทร์ ตั้งข้อสังเกตว่า ทำไม Bloatware ถึงขอสิทธิ์การเข้าถึงข้อมูลที่มากขนาดนี้ วัตถุประสงค์ในการเข้าถึงข้อมูลคืออะไร และการที่ผู้ใช้ไม่สามารถ Unistall ได้ นั่นหมายความว่า ผู้ผลิตไม่ต้องการให้ผู้ใช้ลบแอปฯนี้เลย ดังนั้นจึงต้องตอบคำถามให้ได้ว่าทำไมถึงต้องการให้ผู้ใช้มีแอปฯนี้ตลอดเวลา
“มุมมองส่วนตัวมองว่า Bloatware นั้นอันตราย เพราะแอปฯเหล่านี้เข้าถึงข้อมูลผู้ใช้จำนวนมาก บางแอปฯขอสิทธิ์เข้าถึงข้อมูลเยอะเกินความจำเป็น เช่น ตำแหน่งที่อยู่ รายชื่อ หรือข้อมูลส่วนตัว ถ้าผู้พัฒนาแอปฯไม่ซื่อตรงหรือมีช่องโหว่ อาจทำให้ข้อมูลผู้ใช้รั่วไหลได้”
ยกตัวอย่าง กรณีดังในต่างประเทศที่แบรนด์ผู้ผลิตโน้ตบุ๊กแบรนด์หนึ่ง ทำการ Pre-Install แอปฯชื่อ Superfish ไว้ในเครื่อง เพื่อที่จะควบคุมผลลัพธ์จากการค้นหา ซึ่งการทำเช่นนี้ทำให้เกิดปัญหาตามมาเยอะมาก เพราะซอฟต์แวร์นี้เปิดช่องให้โดนแฮกได้ง่าย ทำให้ปัจจุบันในยุโรปและอเมริกา ผู้ใช้จะให้ความสำคัญกับเรื่องนี้มาก มีการออกกฎอย่าง GDPR บังคับให้บริษัทต้องโปร่งใสเรื่องข้อมูลผู้ใช้
สำหรับผู้ที่กังวล เกี่ยวกับ Bloaltware ทาง Cloudsec มีคำแนะนำดังนี้
- เช็กสิทธิ์แอป: ให้ดูว่าแอปฯนั้นขอสิทธิ์อะไรบ้าง ถ้าไม่จำเป็นให้ปิดการให้สิทธิ์นั้น
- ปิดหรือลบแอปที่ไม่จำเป็น: ในระบบปฏิบัติการ Android ผู้ใช้สามารถปิดการใช้งานแอปฯจากเมนูการตั้งค่า หรือใน Windows/Mac ก็ถอนการติดตั้งได้ (ถ้าระบบไม่ล็อกไว้)
- ใช้ Custom ROM: สำหรับ Android ถ้ามีความเชี่ยวชาญ ให้ติดตั้งระบบปฏิบัติการแบบสะอาด ๆ ที่ไม่มีแอปฯประเภท Bloaltware
- เลือกอุปกรณ์ที่ไม่มี Bloatware: เช่น Google Pixel หรือแล็ปท็อปที่ใช้ Windows แบบ “Clean Install”
นายคงศักดิ์ ก่อตระกูล ผู้อำนวยการด้านวิศวกรความปลอดภัย ประจำภูมิภาคอาเซียนและเกาหลีใต้ บริษัท เช็ค พอยท์ ซอฟต์แวร์ เทคโนโลยีส์ จำกัด ให้ความเห็นว่า กรณีแอปฯ Fineasy ที่อยู่ในสมาร์ตโฟนของ OPPO และ realme นั้น เป็นแอปฯที่ติดตั้งมาตั้งแต่โรงงานผลิต ผู้ใช้ไม่ได้เป็นคนดาวน์โหลดเข้ามาเอง สิ่งที่น่าสังเกตคือเหตุการณ์นี้เกิดขึ้นในประเทศไทยเท่านั้น ซึ่งในการผลิต ผู้ผลิตสามารถทำ Provisioning ระบบปฏิบัติการ เพื่อปรับแต่งให้เข้ากับแบรนด์และผู้ใช้ในแต่ละประเทศ โดยเพิ่มแอปฯของแบรนด์ผู้ผลิตเข้าไป เช่น แอปฯกล้องถ่ายภาพ ที่แต่ละแบรนด์จะมีความสามารถในแอปฯกล้องที่แตกต่างกัน
การจะแยก Bloatware กับ Utility ให้ดูที่การขอสิทธิ์การเข้าถึงของแอปฯนั้น ๆ เพราะแอปฯที่เป็น Utility จะมาพร้อมกับระบบของเครื่อง และแอปฯเหล่านี้ไม่ขอสิทธิ์การเข้าถึงของแอปฯ เช่น แอปฯกล้องถ่ายภาพจะผูกอยู่กับแอปฯคลังภาพไว้อยู่แล้ว ไม่จำเป็นต้องขออนุญาตการเข้าถึง ขณะที่แอปฯอื่นจะเข้ามาเชื่อมกับกล้อง หรือคลังภาพ จำเป็นจะต้องขออนุญาตก่อน
“จากกรณีของ OPPO และ realme ตามข่าวที่ออกมา แอปฯ Fineasy ไม่มีการแจ้งขอสิทธิ์การเข้าถึงข้อมูล แต่ถูกผูกสิทธิ์มาตั้งแต่แรก ซึ่งตรงนี้มองว่าค่อนข้างอันตราย โดยเฉพาะการเข้าถึงข้อมูลที่ระบุตัวตนของผู้ใช้ (Personally Identifiable Information: PII) โดยที่ผู้ใช้ไม่สามารถทราบได้ว่าข้อมูลของตัวเองถูกนำไปใช้ในเรื่องอะไรบ้าง”
นายคงศักดิ์ ให้ความเห็นต่อว่า กรณีที่แอปฯถูกผูกมากับระบบปฏิบัติการนั้น การจะป้องกันทำได้ค่อนข้างยาก แม้ว่าผู้ใช้จะติดตั้งแอปฯ Mobile Security ก็ไม่ได้ผล เพราะระบบให้สิทธิ์เหล่านั้นกับแอปฯไปแล้ว ยกเว้นว่าแอปฯนั้นจะถูกประกาศให้เป็นแอปฯมัลแวร์ ตัว Mobile Security ถึงจะแจ้งว่าแอปฯนั้นไม่ปลอดภัย
แต่ในกรณีที่แอปฯ ถูกฝังมาตั้งแต่โรงงานแล้วให้สิทธิ์ไปเลย โอกาสจะป้องกันตัวเองถือว่ายาก เพราะยังไม่ทราบว่าการที่ Uninstall ไม่ได้นั้นเกิดการ Hardcode เพื่อล็อกสิทธิ์การเข้าถึงทำให้ลบแอปฯไม่ได้ ซึ่งถ้าเป็นเช่นนี้ผู้ผลิตก็อาจทำการ Hardcode Reinstall เพื่อทำการเอาแอปฯออกให้ผู้ใช้ได้ แต่หากเป็นการ Hardcode ถึงขั้นที่ Remote ไปทำการ Uninstall ไม่ได้ ก็อาจต้องทำการ Flash Rom แล้ว Replace ระบบปฏิบัติการใหม่