หลังจาก bank ต่างๆ เริ่มป้องกัน accessibility permission มากขึ้น ก็ตั้งใจว่าถ้า bank ไหนก็ตามที่ใช้อยู่แล้วใช้แอพไม่ได้ ก็ถือว่าไม่มีแอพใช้แล้วเป็นธนาคารที่ไม่ดีต้องย้ายธนาคาร
วันก่อนเจอว่า SCB เริ่มมีปัญหากับ USB Debugging ก็เลยย้ายเงินออกหมดไปธนาคารอื่นทันที เงินเดือนก็เข้าที่นี่ก็ย้ายออกไปที่อื่น
จุดยืนของผมคือ device ผมก็เป็นของผม ถ้าอยากใช้ policy อื่นก็ซื้อเครื่องให้ผมใช้ บริษัทผมหลายๆ คนทั้งพนักงานและคนวางนโยบาย IT ก็ยืนยันแบบนี้เหมือนกันว่าบริษัทกำหนดนโยบายเครื่องที่จะ BYOD ของพนักงานประจำไม่ได้ ทำได้แค่ห้ามใช้ซึ่งต้องไม่กระทบ productivity ของพนักงาน
ทีนี้ถ้าใครอยากย้ายบ้าง ก็ลองทดสอบให้ดังนี้
Test system
- Sony Xperia 5 IV
- Android 13 (March 1 2023 system update & Google Play update)
- เปิด lock screen
- ไม่ได้ root
- เปิด Dev mode, USB Debugging แต่ไม่ได้เปิด Wireless debugging
- มี RustDesk ลงไว้จาก F-Droid (มี accessibility service) แต่ไม่ได้เปิดใช้งาน
- เปิด accessibility service จาก Play store
ผลการทดสอบ
ธนาคารที่ใช้งานได้ |
Application |
ผลลัพท์ |
กสิกรไทย |
K Plus |
ต้องยืนยันใบหน้า 1 ครั้ง (เหมือน NDID) เมื่อมี accessibility service จึงจะเข้าแอพได้ตลอดไป |
กสิกรไทย |
K PLUS SME |
ใช้งานได้ |
กรุงศรีอยุธยา |
KMA |
ใช้งานได้ |
กรุงศรีอยุธยา |
U Choose (บัตรเครดิต) |
ใช้งานได้ |
กรุงไทย |
Krungthai NEXT |
เข้าแอพได้ (ไม่มีบัญชี เลยไม่ได้ทดลองใช้งานต่อ) |
เกียรตินาคินภัทร |
KKP Mobile |
เข้าแอพได้ |
ธนาคารที่ใช้งานไม่ได้ |
Application |
ผลลัพท์ |
ออมสิน |
MyMO |
ไม่ได้ทดสอบ แต่ได้ยินว่าใช้งานไม่ได้ (accessibility) |
ไทยพาณิชย์ |
SCB Easy |
ใช้งานไม่ได้ (USB Debugging) |
กรุงเทพ |
Bualuang mBanking |
ใช้งานไม่ได้ (accessibility) |
CIMB |
CIMB THAI Digital Banking |
ใช้งานไม่ได้ (accessibility) |
ทหารไทยธนชาติ |
TMB Touch |
ใช้งานไม่ได้ (accessibility) |
ทหารไทยธนชาติ |
TMB Biz Touch |
ใช้งานไม่ได้ (accessibility) |
UOB |
UOB TMRW TH |
ใช้งานไม่ได้เพราะ RustDesk |
Alternative
นอกจากใช้แอพธนาคารแล้ว หลายๆ ธนาคารยังใช้งานผ่าน Internet banking ได้อีกด้วยซึุ่งไม่มีข้อจำกัดแบบนี้
ปัญหาคือ Internet banking ของธนาคารมักจะได้รับการพัฒนาน้อยกว่า mobile banking มากๆ หลายๆ ฟีเจอร์อาจจะไม่มี และสแกนจ่ายไม่ได้ เพิ่มบัญชีรับโอนได้จำกัดจำนวนครั้ง (ป้องกัน scraping ไป abuse) แต่อาจจะเป็นตัวเลือกที่ดีถ้าจำเป็นต้องใช้เพื่อย้ายเงินออกไปธนาคารอื่นๆ
ข้อเสนอแนะ
เข้าใจว่าข้อกำหนดเรื่อง accessibility เป็นข้อกำหนดของ ธปท ซึ่ง user ทั่วไปไม่สามารถ secure มือถือได้ดีหรืออาจถูก social engineering ให้ติดตั้งแอพ แต่มันเป็นการ workaround ปัญหา
Compromise ที่ดีระหว่าง power user และ dumb user คืออาจจะแยกระบบ banking ออกไปเป็นแอพที่ธนาคารมีการป้องกันสำหรับผู้ใช้งานทั่วไป และแอพที่ใช้งานได้แต่ไม่บังคับนโยบายความปลอดภัยของเครื่อง (เช่น ไม่เช็ค accesibility, root, usb debugging, safetynet status, ใช้ OS keyboard ใน app ไม่ใช่ custom keyboard) ซึ่งต้องขอใช้งานแยกต่างหาก อาจจะคล้ายๆ กับ internet banking ในปัจจุบันซึ่งก็ไม่มีการเช็คความปลอดภัยของเครื่องเช่นกัน (ผมคิดว่ามีค่ารายปีแบบเดียวกับ internet banking ก็เป็นไปได้)
นอกจากนั้นแล้ว app สำหรับใช้งานทั่วไปจริงๆ ผมคิดว่าบางอันก็เป็นความเสี่ยงที่ user รับได้เช่นกัน อาจจะมีแจ้งเตือนแต่ไม่ต้องห้ามใช้ เช่น
- เครื่องที่ root คือ user ตั้งใจแน่นอน
- เครื่องที่ security update ไม่เป็นปัจจุบัน (ซึ่งก็คือ Android ส่วนมาก)
- เครื่องที่เปิด USB Debug
- ควรเปิดให้ capture screen ได้แต่ต้องกดเปิด option ก่อน
แล้วควรจะไปทำ security จริงจัง ที่ไม่ใช่เพิ่ม layer ความปลอดภัย เช่น
- ถ้าโอนเงินหรือถอนเงินสดจำนวนมากต้องสแกนหน้า (ทำแล้ว)
- ถ้าเปลี่ยนวงเงินต้องสแกนหน้า
- นอกจากสแกนหน้าแล้ว คิดว่า phone OTP ยังน่าใช้งานอยู่ (โทรเข้ามาแล้วให้พูดหรือกดรหัสตามที่แจ้ง) แต่ควรคำนึงถึงผู้พิการ
- ลด default วงเงินโอน ถอนเงินสดต่อวันในแอพให้เหลือประมาณ 20% ของเงินในบัญชี (มีขั้นต่ำ)
- ถ้าโอนติดต่อกันหลายๆ ครั้งไปยังปลายทางเดียวกันควรจะระงับไม่ให้โอนและโทรสอบถามลูกค้าเช่นเดียวกับบัตรเครดิต
- คิดว่าบัตรเครดิตทำได้เพราะมีค่าธรรมเนียม แต่ mobile banking ไม่มี อาจจะถึงเวลามีรายปีแล้วหรือเปล่านะ
- ควรใช้ fingerprint ยืนยันการโอนมากกว่า PIN หรือยืนยันทั้งสองอย่าง