Google รายงานการพบช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูงในชิป Exynos ของ Samsung ซึ่งสามารถถูกนำไปใช้ในการโจมตีจากภายนอก เพื่อให้สามารถควบคุมเครื่องได้โดยสมบูรณ์ โดยไม่ต้องมีการดำเนินการใด ๆ จากผู้ใช้งาน
ช่องโหว่ zero-day ทั้ง 18 รายการมีผลกระทบต่อ Android หลายรุ่น เช่น Samsung, Vivo, Google, รวมถึงอุปกรณ์ และ smart watch ที่ใช้ชิปเซ็ต Exynos W920 รวมถึงรถยนต์ที่ใช้ชิปเซ็ต Exynos Auto T5123 ด้วยเช่นเดียวกัน
โดยช่องโหว่ 4 รายการ สามารถทำให้ผู้ไม่หวังดีสามารถเข้าถึงอุปกรณ์ Samsung, Vivo, และ Google ผ่านทางอินเทอร์เน็ตได้ รวมถึงอุปกรณ์ และ smart watch ที่ใช้ชิปเซ็ต Exynos W920 และรถยนต์ที่ใช้ชิปดังกล่าวในช่วงปลายปี 2022 ถึงต้นปี 2023
Tim Willis หัวหน้าของโครงการ Google Project Zero ระบุว่า "ช่องโหว่ทั้ง 4 รายการ ทำให้ให้ผู้ไม่หวังดีสามารถเข้าถึงโทรศัพท์มือถือจากภายนอก และเข้าควบคุมเครื่องได้ โดยไม่ต้องมีการดำเนินการใด ๆ จากผู้ใช้งาน และผู้โจมตีใช้แค่เพียงหมายเลขโทรศัพท์เท่านั้น"
ซึ่งการโจมตีดังกล่าว ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลที่ผ่านเข้าออกของอุปกรณ์เป้าหมายได้ โดยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ดังกล่าวยังไม่มีการเปิดเผยต่อสาธารณะ
การโจมตีดังกล่าวอาจดูเหมือนเป็นไปได้ยาก แต่ในความเป็นจริงผู้ไม่หวังดีที่มีความเชี่ยวชาญ สามารถสร้างโปรแกรมการโจมตีเพื่อเจาะเข้าอุปกรณ์ที่ได้รับผลกระทบจากระยะไกลได้โดยที่ผู้ใช้ไม่รู้ตัว
ช่องโหว่ที่เหลือ 14 รายการ ยังไม่มีผลกระทบที่รุนแรง เนื่องจากผู้ไม่หวังดีต้องสามารถเข้าถึงอุปกรณ์ได้ก่อน
ถึงแม้ว่า Pixel 6, และ Pixel 7 จะได้รับการอัปเดตเพื่อแก้ไขช่องโหว่ไปแล้วในการอัปเดตความปลอดภัยของเดือนมีนาคม 2023 แต่การอัปเดตรุ่นอื่น ๆ อาจจะต้องรอให้ทางผู้ผลิตปล่อยแพตช์ออกมาอีกที โดยจะแตกต่างกันไปตามกำหนดการของแต่ละผู้ผลิต
จนกว่าจะมีการแก้ไข ผู้ใช้ควรปิดฟังก์ชัน Wi-Fi calling และ Voice over LTE (VoLTE) ในการตั้งค่าของอุปกรณ์ เพื่อลดความเสี่ยงจากการถูกโจมตีด้วยช่องโหว่ดังกล่าว
ที่มา : thehackernews
You must be logged in to post a comment.