Echo Duan นักวิเคราะห์ภัยคุกคามบนโทรศัพท์มือถือจากบริษัท Trend Micro ได้เปิดเผยรายละเอียดของช่องโหว่บนแอปพลิเคชันยอดนิยม SHAREit สำหรับ Android ที่มียอดดาวน์โหลดมากกว่าหนึ่งพันล้าน หลังจากผู้พัฒนาแอปพลิเคชันไม่ได้ทำการแก้ไขช่องโหว่หลังจากรับรายงานช่องโหว่ไปแล้วนานกว่าสามเดือน

ตามรายงานจาก Duan ระบุว่าช่องโหว่บนแอปพลิเคชัน SHAREit สำหรับ Android ซึ่งเป็นแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ที่จะอนุญาตให้ผู้ใช้แชร์ไฟล์กับเพื่อนหรือระหว่างอุปกรณ์ส่วนตัวได้ โดยช่องโหว่จะเปิดโอกาสให้ผู้ประสงค์ร้ายสามารถใช้เพื่อเรียกใช้โค้ดที่เป็นอันตรายบนสมาร์ทโฟนที่ติดตั้งแอป SHAREit โดยผู้โจมตีที่ทำการ Person-in-the-middle ในเครือข่ายสามารถส่งคำสั่งที่เป็นอันตรายไปยังแอพ SHAREit และเรียกใช้โค้ดที่กำหนดเองหรือติดตั้งแอปของผู้ประสงค์ร้ายได้

นอกจากนี้แอปยังมีความเสี่ยงต่อการโจมตีแบบ Man-in-the-Disk ที่ผู้โจมตีสามารถลบแก้ไขหรือแทนที่ข้อมูลในตำแหน่งพื้นที่เก็บข้อมูลของโทรศัพท์ที่แชร์ข้อมูลกับแอปอื่นๆ ได้

เนื่องจาก Duan ได้รายงานช่องโหว่ไปยังผู้พัฒนาแอปพลิเคชันให้ทำการแก้ไขช่องโหว่ดังกล่าว แต่หลังจากเวลาผ่านไปสามเดือนผู้พัฒนาแอปพลิเคชันยังไม่ได้ทำการแก้ไขช่องโหว่ Duan จึงตัดสินใจเผยเเพร่รายละเอียดของช่องโหว่สู่สาธารณะ

ทั้งนี้การประกาศบนเว็บไซต์ของบริษัทผู้พัฒนาแอปพลิเคชัน SHAREit ได้อ้างว่าแอปของพวกเขาถูกใช้โดยผู้ใช้มากกว่า 1.8 พันล้านคนในกว่า 200 ประเทศทั่วโลก โดยช่องโหว่นี้จะไม่ส่งผลกระทบต่อแอป SHAREit สำหรับ iOS ซึ่งทำงานบน Codebase อื่น

ที่มา : zdnet

ตามรายงานจาก The Wall Street Journal ที่ได้ทำการตรวจสอบ TikTok พบว่า TikTok ใช้ช่องโหว่บางอย่างเพื่อหลีกเลี่ยงการปกป้องความเป็นส่วนตัวใน Android และเพื่อรวบรวมที่จะสามารถระบุตัวตนที่ไม่ซ้ำกันได้จากอุปกรณ์มือถือหลายล้านเครื่อง ซึ่งเป็นข้อมูลที่จะช่วยให้แอปพลิเคชันติดตามผู้ใช้ทางออนไลน์โดยไม่ได้รับอนุญาต

The Wall Street Journal กล่าวว่า TikTok ใช้ช่องโหว่ในการรวบรวม MAC addresses เป็นเวลาอย่างน้อย 15 เดือนและการรวบรวมข้อมูลถูกหยุดลงในเดือนพฤศจิกายน 2020 หลังจากบริษัท ByteDance ตกอยู่ภายใต้การตรวจสอบอย่างเข้มงวดในกรุงวอชิงตันดีซี โดย MAC addresses ถือเป็นข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ภายใต้ COPA (Children's Online Privacy Protection Act) ซึ่งเป็นตัวระบุเฉพาะที่พบในอุปกรณ์สื่อสารที่เปิดใช้งานอินเทอร์เน็ตทั้งหมดรวมถึงอุปกรณ์ที่ใช้ระบบ Android และ iOS ซึ่งข้อมูล MAC addresses สามารถใช้เพื่อกำหนดเป้าหมายในการโฆษณาไปยังผู้ใช้ที่เฉพาะเจาะจงหรือติดตามบุคคลที่ใช้งานได้

TikTok ได้ออกมาโต้แย้งต่อการค้นพบของ The Wall Street Journal โดยกล่าวว่า TikTok เวอร์ชันปัจจุบันไม่ได้รวบรวม MAC addresses แต่จากการตรวจสอบพบว่าบริษัทได้รวบรวมข้อมูลดังกล่าวมาหลายเดือนแล้ว

ทั้งนี้ iOS ของ Apple จะบล็อก third party ไม่ให้อ่าน MAC addresses ซึ่งเป็นส่วนหนึ่งของคุณสมบัติความเป็นส่วนตัวที่เพิ่มเข้ามาในปี 2013 แต่บน Android การใช้ช่องโหว่เพื่อรวบรวมข้อมูล MAC addresses ยังคงอยู่และสามารถใช้ประโยชน์จากช่องโหว่ได้ ถึงแม้ว่าการตรวจสอบจะพบว่า TikTok ไม่ได้รวบรวมข้อมูลจำนวนมากผิดปกติและโดยทั่วไปแล้วจะแจ้งล่วงหน้าเกี่ยวกับการรวบรวมข้อมูลผู้ใช้แต่ WSJ พบว่าบริษัทแม่ ByteDance ยังดำเนินการรวบรวมข้อมูลจากผู้ใช้อยู่

ที่มา: securityweek

Google เปิดตัวแพตช์ความปลอดภัยประจำเดือนธันวาคมสำหรับอุปกรณ์ Android หรือ Android Security Bulletin December 2020 โดยในเดือนธันวาคมนี้ Google ได้แก้ไขช่องโหว่ 46 รายการและช่องโหว่ที่มีความสำคัญที่สุดจะทำให้ผู้โจมตีสามารถควบคุมโทรศัพท์มือถือที่มีช่องโหว่ได้จากระยะไกล

ช่องโหว่ที่สำคัญแต่ Google ไม่ได้เปิดเผยข้อมูลเฉพาะทางเทคนิคถูกติดตามด้วยรหัส CVE-2020-0458 จะส่งผลกระทบต่อ Android 8.0, 8.1, 9 และ 10

ช่องโหว่ที่สำคัญอีกหนึ่งประการและมีคะแนนความรุนแแรงจาก CVSS อยู่ที่ 9.8 จาก 10 คือช่องโหว่ CVE-2020-11225 ในชิปเซ็ต Qualcomm

ผู้ใช้ Android ควรทำการอัปเดตแพตช์ความปลอดภัยเป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโนชน์จากช่องโหว่ทำการโจมตี ทั้งนี้ผู้ที่สนใจรายละเอียกเพิ่มเติมของแพตช์ความปลอดภัยสามารถดูได้จากแหล่งที่มา

ที่มา: securityweek | threatpost | source.

นักวิจัยด้านความปลอดภัยจาก Check Point ได้เปิดเผยถึงช่องโหว่ในไลบรารี Play Core ซึ่งเป็นไลบรารีของ Android ยอดนิยมที่ช่วยให้นักพัฒนาสามารถจัดการโมดูลและฟีเจอร์ใหม่ได้อย่างมีประสิทธิภาพ โมดูลนี้ถูกใช้ในแอปพลิเคชันยอดนิยมมากมายรวมถึง Grindr, Bumble, OkCupid, Cisco Teams, Moovit, Yango Pro, Microsoft Edge, Xrecorder และ PowerDirector ด้วยช่องโหว่จากไลบรารีนี้จะทำให้ผู้ใช้ Android ตกอยู่ในความเสี่ยงต่อการถูกขโมยข้อมูลที่ละเอียดอ่อน เช่น อีเมล และรหัสผ่านที่ใช้ทางการเงิน เป็นต้น

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-8913 (CVSSv3: 8.8/10) จะส่งผลกระทบกับ Android ไลบรารี Play Core เวอร์ชันก่อน 1.7.2. โดยผู้ประสงค์ร้ายสามารถใช้ประโยชน์จากช่องโหว่เพื่อโหลดและรันโค้ดที่เป็นอันตราย (เช่นไฟล์ APK) ไปยังแอปที่เป็นเป้าหมาย และส่งผลให้ผู้โจมตีสามารถขโมยรายละเอียดการเข้าสู่ระบบ, รหัสผ่าน, SMS ยืนยันที่มีโค้ด 2FA, รายละเอียดทางการเงินและข้อมูลที่ละเอียดอ่อนอื่น ๆ ของผู้ใช้

นักวิจัยยังกล่าวอีกว่าในปัจจุบันพบว่าแอปพลิเคชันบน Google Play จำนวน 13% ที่มีความเสี่ยงและจากข้อมูลการวิเคราะห์ในเดือนกันยายน 2020 ที่ผ่านมาพบว่า 8% ของแอปเหล่านั้นมีเวอร์ชันของไลบรารีที่มีช่องโหว่

หลังจากเปิดเผยรายงานผู้พัฒนาแอปพลิเคชันบางรายได้เริ่มทยอยการอัปเดตแอปพลิเคชันแล้ว ทั้งนี้ผู้ใช้ Android ควรทำการอัปเดตแอปพลิเคชันที่ใช้งานให้เป็นเวอร์ชันล่าสุดอยู่เสมอเพื่อป้องกันการตกเป็นเหยื่อจากผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: thehackernews | bankinfosecurity

Facebook ประกาศการแก้ไขปัญหาระดับวิกฤติใน Facebook Messenger บน Android หลังจากมีการตรวจพบว่าแอปอนุญาตให้ผู้ที่ทำการโทรผ่านการใช้เสียงนั้นสามารถฟังเสียงของปลายยทางได้แม้ปลายทางจะยังไม่มีการรับสาย ช่องโหว่จะทำการโจมตีเฉพาะบัญชีผู้ใช้งานที่เป็นเพื่อนกันแล้วเท่านั้น

การโจมตีดังกล่าวสามารถทำได้หากผู้โจมตีมีการส่งข้อความแบบพิเศษที่เรียกว่า SdpUpdate ซึ่งทำให้เกิดการเชื่อมต่อสายก่อนที่ผู้ใช้งานจะกดรับ หรือในอีกความหมายหนึ่งคือบังคับให้เกิดการส่งข้อมูลเสียงในทันทีที่ปลายทางได้รับข้อความดังกล่าว ช่องโหว่ดังกล่าวถูกค้นพบโดย Natalie Silvanovich จาก Google Project Zero ซึ่งสามารถดูรายละเอียดการค้นพบและการโจมตีช่องโหว่ได้ที่ project-zero

เราขอแนะนำให้ผู้ใช้งานทำการอัปเดตแอป Facebook Messenger ให้เป็นเวอร์ชันล่าสุดโดยทันที เนื่องจากมีการเปิดเผยวิธีการโจมตีออกมาแล้ว มีโอกาสสูงที่อาจมีผู้ไม่ประสงค์นำวิธีการโจมตีมาสร้างการโจมตีจริงและโจมตีผู้ใช้งานที่ยังไม่ได้มีการอัปเดตแอป

ที่มา: bleepingcomputer | thehackernews

นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้รายงานถึงการค้นพบ Android banking trojan ชนิดใหม่ที่สามารถสอดแนมและขโมยข้อมูลจากแอปพลิเคชันของผู้ใช้ Android ได้ โดยหลังจากนักวิจัยพบจำนวนแอปพลิเคชัน 153 แอปพลิเคชันที่มีอันตรายและนักวิจัยได้เรียกโทรจันชนิดนี้ว่า Ghimob

นักวิจัยกล่าวว่า Ghimob เป็นโทรจันได้รับการพัฒนาโดยกลุ่มเดียวกันที่อยู่เบื้องหลังมัลแวร์ Windows Astaroth หรือ Guildma การตรวจพบเกิดจากทีมนักวิจัยได้รับข้อเสนอให้ทำการดาวน์โหลด Android ที่เป็นอันตรายบนเว็บไซต์เเห่งหนึ่งและเมื่อทำการตรวจสอบเซิร์ฟเวอร์ที่ใช้งานพบว่าเป็นเซิร์ฟเวอร์ที่ก่อนหน้านี้ถูกใช้โดยกลุ่มมัลแวร์ Astaroth (Guildama)

แอปที่อยู่ภายในเว็บไซต์พบว่ามีการเลียนแบบแอปและแบรนด์ที่เป็นทางการโดยมีชื่อเช่น Google Defender, Google Docs, WhatsApp Updater หรือ Flash Update หากผู้ใช้ประมาทและทำการติดตั้งแอป ถึงแม้จะมีคำเตือนที่แสดงบนอุปกรณ์ของผู้ใช้ก็ตาม แอปที่เป็นอันตรายเหล่านี้จะร้องขอการเข้าถึงบริการ ซึ่งจะเป็นขั้นตอนสุดท้ายในกระบวนการติดไวรัสและถ้าหากได้รับอนุญาต แอปจะค้นหาข้อมูลภายในโทรศัพท์ที่ติดไวรัสเพื่อดูรายการแอปของผู้ใช้ จากนั้นจะแสดงหน้าล็อกอินปลอมเพื่อพยายามขโมยข้อมูล Credential ของผู้ใช้ ซึ่งหลังจากความพยายามฟิชชิงข้อมูลสำเร็จข้อมูล Credential ที่รวบรวมไว้ทั้งหมดจะถูกส่งกลับไปยังกลุ่ม Ghimob ซึ่งจะใช้ข้อมูลเหล่านี้ในการเข้าถึงบัญชีของเหยื่อและเริ่มทำธุรกรรมที่ผิดกฎหมาย

นักวิจัยยังกล่าวอีกว่าแอปที่แฝงมัลแวร์ Ghimob ไว้นั้นได้กำหนดเป้าหมายส่วนใหญ่เป็นของธนาคารในบราซิล , เยอรมนี, โปรตุเกส, เปรู, ปารากวัย, แองโกลาและโมซัมบิก และยังได้เพิ่มเป้าหมายไปยังแอปพลิเคชันที่มีเกี่ยวข้องกับ cryptocurrency exchange เพื่อพยายามเข้าถึงบัญชีสกุลเงินดิจิทัล

ทั้งนี้ผู้ใช้ Android ควรมีระมัดระวังในการดาวน์โหลดแอปพลิเคชันจากเเหล่งที่ไม่รู้จักเพื่อเป็นการป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา: zdnet.

Adobe เปิดตัวแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ที่สำคัญ 3 รายการใน Adobe Reader สำหรับ Android และ Adobe Connect

ช่องโหว่ CVE-2020-24442, CVE-2020-24443 เป็นช่องโหว่ Cross Site Scripting (XSS) ที่อยู่ภายใน Adobe Connect โดยช่องโหว่อาจทำให้ผู้โจมตีสามารถเรียกใช้ JavaScript ที่เป็นอันตรายได้
ช่องโหว่ CVE-2020-24441 เป็นช่องโหว่การเปิดเผยข้อมูลสำคัญใน Adobe Reader สำหรับ Android โดยช่องโหว่อาจทำให้ผู้โจมตีสามารถอ่านข้อมูลของผู้ใช้ได้

ทั้งนี้ผู้ใช้ Adobe Connect ควรทำการอัปเดตและติดตั้ง Adobe Connect ให้เป็นเวอร์ชัน 11.0.5 และผู้ใช้ Adobe Reader สำหรับ Android ควรทำการอัปเดตและติดตั้ง Adobe Reade สำหรับ Android ให้เป็นเวอร์ชัน 20.9.0 เพื่อเเก้ไขช่องโหว่และเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: bleepingcomputer.

แพตช์ Android รอบเดือนพฤศจิกายน 2020 มาแล้ว รวม 30 ช่องโหว่ถูกแพตช์

กูเกิลประกาศแพตช์สำหรับแอนดรอยด์ประจำเดือนพฤศจิกายน 2020 เมื่อช่วงต้นเดือนทีผ่านมา โดยในรอบนี้นั้นมีช่องโหว่ทั้งหมด 30 รายการที่ถูกแพตช์

หนึ่งในช่องโหว่ที่ร้ายแรงที่สุดในรอบนี้นั้นคือช่องโหว่รหัส CVE-2020-0449 ซึ่งเป็นช่องโหว่ในระบบของแอนดรอยด์เอง ผู้โจมตีช่องโหว่สามารถรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ที่สูงจากระยะไกลเพื่อยืดและควบคุมระบบได้ ช่องโหว่นี้กระทบแอนดรอยด์ในรุน 8.0, 8.1, 9, 10 และ 11 แพตช์ในส่วนของระบบยังเป็นส่วนของแพตช์ที่ถูกประกาศเยอะที่สุดในรอบนี้ซึ่งมีไม่บ่อยมาก รองลงมาคือแพตช์ในส่วนของเฟรมเวิร์คต่างๆ ที่เกี่ยวข้องกับระบบ

ผู้ใช้งานสามารถทำการตรวจสอบแพตช์ในอุปกรณ์และทำการอัปเดตได้แล้ววันนี้

ที่มา: securityweek

มัลแวร์ GravityRAT สายพันธุ์ใหม่ที่สามารถเเพร่กระจายได้บนอุปกรณ์ Android และ macOS

นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้เผยถึงการตรวจพบมัลแวร์ GravityRAT สายพันธุ์ใหม่ที่สามารถเเพร่กระจายได้บนอุปกรณ์ Android และ macOS

GravityRAT เป็น Remote Access Trojan (RAT) ที่ได้รับการพัฒนาจากกลุ่มแฮกเกอร์ชาวปากีสถานอย่างน้อยตั้งแต่ 2015 เพื่อใช้ในการโจมตีเป้าหมายในหน่วยงานและองค์กรทางด้านทหารของอินเดีย

ด้วยความสามารถใหม่นี้มัลแวร์ GravityRAT ที่ปัจจุบันปลอมตัวเป็นแอป Android และ macOS ที่ถูกต้องจะมีความสามารถในการดักจับข้อมูลของอุปกรณ์, รายชื่อผู้ติดต่อ, ที่อยู่, อีเมล,บันทึกการโทรและข้อความ หลังจากนั้นจะทำการส่งไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ทั้งนี้มัลแวร์ GravityRAT ยังมีความสามารถในการค้นหาไฟล์ในคอมพิวเตอร์และอุปกรณ์ removable disk ที่มีนามสกุล. doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp และ. ods และอัปโหลดไปยังเซิร์ฟเวอร์, ตรวจสอบโปรเซสที่กำลังทำงานอยู่, ล็อคกดแป้นพิมพ์, ถ่ายภาพหน้าจอ, รันคำสั่งเชลล์โค้ดได้, บันทึกเสียงและสแกนพอร์ต

ทั้งนี้ผู้ใช้งานควรระมัดระวังในการเปิดเอกสารหรือดาวน์โหลดไฟล์จากเเหล่งที่ไม่ทราบข้อมูลที่ชัดเจนและควรพิจารณาใช้ซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพเพื่อเป็นการป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

Microsoft ออกเเจ้งเตือนถึง Android ransomware สายพันธุ์ใหม่ที่ใช้กลไก "incoming call" หรือการแจ้งเตือนสายเรียกเข้าเพื่อหลอกผู้ใช้ให้กดรับสายและเพื่อเป็นการเปิดการทำงานในการล็อกหน้าจอบนอุปกรณ์ของผู้ใช้

แรนซัมแวร์ที่ถูกเเจ้งเตือนมีชื่อ AndroidOS/MalLocker.