หลังจากที่ไม่มีการ Update มานานตั้งแต่ปี 2016 ทาง OWASP ได้ออก Top 10 Mobile ออกมาเมื่อเร็ว ๆ นี้

𝗠𝟭: 𝗜𝗺𝗽𝗿𝗼𝗽𝗲𝗿 𝗖𝗿𝗲𝗱𝗲𝗻𝘁𝗶𝗮𝗹 𝗨𝘀𝗮𝗴𝗲
เกิดขึ้นจากการจัดการ credentials อย่างไม่เหมาะสม เช่น
• การทำ Hardcoded Credentials
• การทำ Insecure Credential Transmission ที่มีการส่ง credentials โดยที่ไม่มีการเข้ารหัส

𝗠𝟮: 𝗜𝗻𝗮𝗱𝗲𝗾𝘂𝗮𝘁𝗲 𝗦𝘂𝗽𝗽𝗹𝘆 𝗖𝗵𝗮𝗶𝗻 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆
เกิดจากการใช้ Thid-party components ที่ไม่มีความมั่นคงปลอดภัย อาจจะเป็น API หรือ Plug-in ซึ่งผลกระทบที่เกิดอาจจะมีหลายด้าน เช่น
•การเกิด Access Un-Authorization
•Data Breach.

𝗠𝟯: 𝗜𝗻𝘀𝗲𝗰𝘂𝗿𝗲 𝗔𝘂𝘁𝗵𝗲𝗻𝘁𝗶𝗰𝗮𝘁𝗶𝗼𝗻/𝗔𝘂𝘁𝗵𝗼𝗿𝗶𝘇𝗮𝘁𝗶𝗼𝗻เกิดจากการเข้าใช้งานระบบโดยไม่มีการยืนยันตัวตน (Bypass authentication) หรือไม่เหมาะสม อาจจะทำให้เกิดปัญหาทั้งการขโมยข้อมูลออกไป การเกิดความเสียหานด้านชื่อเสียง หรือแม้แต่การที่ระบบถูกแก้ไขข้อมูลอย่างไม่ถูกต้อง เป็นต้น.

𝗠𝟰: 𝗜𝗻𝘀𝘂𝗳𝗳𝗶𝗰𝗶𝗲𝗻𝘁 𝗜𝗻𝗽𝘂𝘁/𝗢𝘂𝘁𝗽𝘂𝘁 𝗩𝗮𝗹𝗶𝗱𝗮𝘁𝗶𝗼𝗻คือเป็นการทำ Input Validation อย่างไม่เหมาะสม ทำให้เกิดการโจมตี เช่น SQL Injection หรือ Cross-Site Scripting ได้ .

𝗠𝟱: 𝗜𝗻𝘀𝗲𝗰𝘂𝗿𝗲 𝗖𝗼𝗺𝗺𝘂𝗻𝗶𝗰𝗮𝘁𝗶𝗼𝗻การที่มีการสื่อสารหรือแลกเปลี่ยนที่ไม่มั่งคงปลอดภัยเพียงพอ เช่น ไม่มีการเข้ารหัสข้อมูล การไม่ได้ใช้ Secure Protocols ทำให้สามารถูกดักจับข้อมูล หรือเห็นข้อมูลความลับที่อยู่ระหว่างการสื่อสารได้.

𝗠𝟲: 𝗜𝗻𝗮𝗱𝗲𝗾𝘂𝗮𝘁𝗲 𝗣𝗿𝗶𝘃𝗮𝗰𝘆 𝗖𝗼𝗻𝘁𝗿𝗼𝗹𝘀การควบคุมข้อมูลส่วนบุคคลอย่างไม่เหมาะสม ซึ่งทำให้ผู้ไม่ประสงค์ดีทำการปลอมตัวเป็นเจ้าของข้อมูล และสามารถนำไปใช้อย่างไม่เหมาะสม ส่วนนี้อาจจะนำ Concept ของ PDPA มาปรับใช้ได้ เช่น เก็บข้อมูลเท่าที่จำเป็น มีการเข้ารหัสหรือ Masking Data รวมไปถึงการกำหนดระยะเวลาการจัดเก็บที่เหมาะสม.

𝗠𝟳: 𝗜𝗻𝘀𝘂𝗳𝗳𝗶𝗰𝗶𝗲𝗻𝘁 𝗕𝗶𝗻𝗮𝗿𝘆 𝗣𝗿𝗼𝘁𝗲𝗰𝘁𝗶𝗼𝗻𝘀การป้องกัน Binary อย่างไม่เหมาะสม จึงสามารถ reverse engineering ได้ ส่วนนี้จะค่อนข้างเทคนิค ซึ่งอาจจะต้องนำเทคโนโลยีอื่น ๆ มาช่วย.

𝗠𝟴: 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗠𝗶𝘀𝗰𝗼𝗻𝗳𝗶𝗴𝘂𝗿𝗮𝘁𝗶𝗼𝗻การกำหนดค่า Configuration ที่ผิดหลาดหรือไม่เหมาะสม ซึ่งอาจจะทำให้เกิดการโจมตีช่องโหว่ได้.

𝗠𝟵: 𝗜𝗻𝘀𝗲𝗰𝘂𝗿𝗲 𝗗𝗮𝘁𝗮 𝗦𝘁𝗼𝗿𝗮𝗴𝗲การที่ไม่มีมาตรการการปกป้อง Data Storage ที่ดีเพียงพอ.

𝗠𝟭𝟬: 𝗜𝗻𝘀𝘂𝗳𝗳𝗶𝗰𝗶𝗲𝗻𝘁 𝗖𝗿𝘆𝗽𝘁𝗼𝗴𝗿𝗮𝗽𝗵𝘆วิธีการเข้ารหัสยังไม่ดีเพียงพอหรือไม่ครบถ้วน ส่วนนี้จะค่อนข้างเทคนิค ซึ่งอาจจะต้องนำเทคโนโลยีอื่น ๆ มาช่วย เช่น Key management, HSM หรือจะต้องเลือก Algorithm ที่เหมาะสม.

จะเห็นได้ว่าเวอร์ชั่นนี้จะมีการปรับเปลี่ยนไปพอสมควรทั้งที่เป็น.
หัวข้อใหม่ – M1, M2, M4 และ M6หัวข้อที่นำมารวมกัน – M4+M6 (2016) = M3, M8+M9 (2016) = M7เป็นต้น ลองนำข้อมูลดังกล่าวไปปรับใช้งานในองค์กรที่มี Mobile application กันดูนะครับ