Revolutionized

Eden of the East นี่มันเป็นตำนานเลยนะ

ตอนที่ดู Eden of the East ตอนจบน้ำตาไหลเลยนะ Seleção สั่งยิงมิซไซล์เพื่อทำลายล้างประเทศ แล้ว Akira ก็คิดว่าเราควรจะเชื่อมั่นในคนรุ่นใหม่เลยให้ทุกคนไปโพสต์บนระบบ Eden of the East ว่าจะจัดการมิซไซล์ทั้งหมดยังไงดีแล้วให้ Juiz วิเคราะห์ข้อมูล นั่นคือสิ่งที่ซอฟต์แวร์ควรจะทำคือ empower ให้คนเปลี่ยนแปลงโลก

ในยุค 2010 ทุกคนก็เชื่อกันแบบนั้นว่า Software กำลังจะเปลี่ยนโลกและ Software Engineer ก็เป็นแนวหน้าที่จะเข้ามาเปลี่ยนแปลงโลก ซึ่งผมชอบคำพูดคุณ noppatjak เมื่อ 11 ปีที่แล้วว่า

14 ปีให้หลังจาก Eden of the East แล้วตอนนี้กุญแจสุดท้ายของ Juiz คือ Generative AI มันมาแล้ว แต่โลกมันไม่ได้เป็นไปอย่างที่ในอนิเมะจะว่าไว้เลย ตอนนี้ความจริงใจหาได้ยากจาก platform ขนาดใหญ่ เราจะเห็นทั้งสแปม โฆษณาแฝง ดราม่า และข่าวปลอมที่ช่วยกันกลบการสนทนาของคนจริงๆ บนอินเตอร์เน็ต ในขณะที่ platform เองก็กำลังเริ่มตั้งกำแพงป้องกันการมาของ generative AI สีเทาถึงทั้ง Twitter, reddit, Bing ที่เริ่มปิดกั้นไม่ให้ใช้งานข้อมูลเพื่อการนำไปสร้าง AI

ถ้าถามว่าตอนนี้ผมทำ project อะไรอยู่ ก็คงพอนับได้ว่าผมกำลังต่อต้านการมาของ Generative AI สีเทาและสีดำแบบนี้อยู่ มันไม่ใช่อนาคตที่ 10 ปีที่แล้วตอนดู Eden of the East ผมคิดไว้เลยว่าจะทำอาชีพนี้ แต่ตอนดูเราก็ไม่ได้คิดเหมือนกันว่า zero click malware แอบฟังมือถือมันจะออกมาจากในอนิเมะได้เหมือนกัน

(เขียนครั้งแรกบน Facebook หวังว่าจะเป็นภาคต่อที่ดีของเรียงความเมื่อ 6 ปีที่แล้ว)

Bank apps for smart user

หลังจาก bank ต่างๆ เริ่มป้องกัน accessibility permission มากขึ้น ก็ตั้งใจว่าถ้า bank ไหนก็ตามที่ใช้อยู่แล้วใช้แอพไม่ได้ ก็ถือว่าไม่มีแอพใช้แล้วเป็นธนาคารที่ไม่ดีต้องย้ายธนาคาร

วันก่อนเจอว่า SCB เริ่มมีปัญหากับ USB Debugging ก็เลยย้ายเงินออกหมดไปธนาคารอื่นทันที เงินเดือนก็เข้าที่นี่ก็ย้ายออกไปที่อื่น

จุดยืนของผมคือ device ผมก็เป็นของผม ถ้าอยากใช้ policy อื่นก็ซื้อเครื่องให้ผมใช้ บริษัทผมหลายๆ คนทั้งพนักงานและคนวางนโยบาย IT ก็ยืนยันแบบนี้เหมือนกันว่าบริษัทกำหนดนโยบายเครื่องที่จะ BYOD ของพนักงานประจำไม่ได้ ทำได้แค่ห้ามใช้ซึ่งต้องไม่กระทบ productivity ของพนักงาน

ทีนี้ถ้าใครอยากย้ายบ้าง ก็ลองทดสอบให้ดังนี้

Test system

  • Sony Xperia 5 IV
  • Android 13 (March 1 2023 system update & Google Play update)
  • เปิด lock screen
  • ไม่ได้ root
  • เปิด Dev mode, USB Debugging แต่ไม่ได้เปิด Wireless debugging
  • มี RustDesk ลงไว้จาก F-Droid (มี accessibility service) แต่ไม่ได้เปิดใช้งาน
  • เปิด accessibility service จาก Play store

ผลการทดสอบ

ธนาคารที่ใช้งานได้ Application ผลลัพท์
กสิกรไทย K Plus ต้องยืนยันใบหน้า 1 ครั้ง (เหมือน NDID) เมื่อมี accessibility service จึงจะเข้าแอพได้ตลอดไป
กสิกรไทย K PLUS SME ใช้งานได้
กรุงศรีอยุธยา KMA ใช้งานได้
กรุงศรีอยุธยา U Choose (บัตรเครดิต) ใช้งานได้
กรุงไทย Krungthai NEXT เข้าแอพได้ (ไม่มีบัญชี เลยไม่ได้ทดลองใช้งานต่อ)
เกียรตินาคินภัทร KKP Mobile เข้าแอพได้
ธนาคารที่ใช้งานไม่ได้ Application ผลลัพท์
ออมสิน MyMO ไม่ได้ทดสอบ แต่ได้ยินว่าใช้งานไม่ได้ (accessibility)
ไทยพาณิชย์ SCB Easy ใช้งานไม่ได้ (USB Debugging)
กรุงเทพ Bualuang mBanking ใช้งานไม่ได้ (accessibility)
CIMB CIMB THAI Digital Banking ใช้งานไม่ได้ (accessibility)
ทหารไทยธนชาติ TMB Touch ใช้งานไม่ได้ (accessibility)
ทหารไทยธนชาติ TMB Biz Touch ใช้งานไม่ได้ (accessibility)
UOB UOB TMRW TH ใช้งานไม่ได้เพราะ RustDesk

Alternative

นอกจากใช้แอพธนาคารแล้ว หลายๆ ธนาคารยังใช้งานผ่าน Internet banking ได้อีกด้วยซึุ่งไม่มีข้อจำกัดแบบนี้

ปัญหาคือ Internet banking ของธนาคารมักจะได้รับการพัฒนาน้อยกว่า mobile banking มากๆ หลายๆ ฟีเจอร์อาจจะไม่มี และสแกนจ่ายไม่ได้ เพิ่มบัญชีรับโอนได้จำกัดจำนวนครั้ง (ป้องกัน scraping ไป abuse) แต่อาจจะเป็นตัวเลือกที่ดีถ้าจำเป็นต้องใช้เพื่อย้ายเงินออกไปธนาคารอื่นๆ

ข้อเสนอแนะ

เข้าใจว่าข้อกำหนดเรื่อง accessibility เป็นข้อกำหนดของ ธปท ซึ่ง user ทั่วไปไม่สามารถ secure มือถือได้ดีหรืออาจถูก social engineering ให้ติดตั้งแอพ แต่มันเป็นการ workaround ปัญหา

Compromise ที่ดีระหว่าง power user และ dumb user คืออาจจะแยกระบบ banking ออกไปเป็นแอพที่ธนาคารมีการป้องกันสำหรับผู้ใช้งานทั่วไป และแอพที่ใช้งานได้แต่ไม่บังคับนโยบายความปลอดภัยของเครื่อง (เช่น ไม่เช็ค accesibility, root, usb debugging, safetynet status, ใช้ OS keyboard ใน app ไม่ใช่ custom keyboard) ซึ่งต้องขอใช้งานแยกต่างหาก อาจจะคล้ายๆ กับ internet banking ในปัจจุบันซึ่งก็ไม่มีการเช็คความปลอดภัยของเครื่องเช่นกัน (ผมคิดว่ามีค่ารายปีแบบเดียวกับ internet banking ก็เป็นไปได้)

นอกจากนั้นแล้ว app สำหรับใช้งานทั่วไปจริงๆ ผมคิดว่าบางอันก็เป็นความเสี่ยงที่ user รับได้เช่นกัน อาจจะมีแจ้งเตือนแต่ไม่ต้องห้ามใช้ เช่น

  • เครื่องที่ root คือ user ตั้งใจแน่นอน
  • เครื่องที่ security update ไม่เป็นปัจจุบัน (ซึ่งก็คือ Android ส่วนมาก)
  • เครื่องที่เปิด USB Debug
  • ควรเปิดให้ capture screen ได้แต่ต้องกดเปิด option ก่อน

แล้วควรจะไปทำ security จริงจัง ที่ไม่ใช่เพิ่ม layer ความปลอดภัย เช่น

  • ถ้าโอนเงินหรือถอนเงินสดจำนวนมากต้องสแกนหน้า (ทำแล้ว)
  • ถ้าเปลี่ยนวงเงินต้องสแกนหน้า
  • นอกจากสแกนหน้าแล้ว คิดว่า phone OTP ยังน่าใช้งานอยู่ (โทรเข้ามาแล้วให้พูดหรือกดรหัสตามที่แจ้ง) แต่ควรคำนึงถึงผู้พิการ
  • ลด default วงเงินโอน ถอนเงินสดต่อวันในแอพให้เหลือประมาณ 20% ของเงินในบัญชี (มีขั้นต่ำ)
  • ถ้าโอนติดต่อกันหลายๆ ครั้งไปยังปลายทางเดียวกันควรจะระงับไม่ให้โอนและโทรสอบถามลูกค้าเช่นเดียวกับบัตรเครดิต
    • คิดว่าบัตรเครดิตทำได้เพราะมีค่าธรรมเนียม แต่ mobile banking ไม่มี อาจจะถึงเวลามีรายปีแล้วหรือเปล่านะ
  • ควรใช้ fingerprint ยืนยันการโอนมากกว่า PIN หรือยืนยันทั้งสองอย่าง