แพตช์ช่องโหว่ Android ประจำเดือนมิถุนายน 2562 มาแล้ว ทั้งหมด 22 ช่องโหว่ถูกแพตช์

Google ประกาศแพตช์ด้านความปลอดภัยสำหรับ Android ประจำเดือนมิถุนยายน 2562 วันนี้โดยมีช่องโหว่ระดับวิกฤติ (critical) จำนวน 8 ช่องโหว่จากทั้งหมด 22 ช่องโหว่ที่ถูกแพตช์ในรอบนี้

สำหรับช่องโหว่ร้ายแรงระดับวิกฤติ คอมโพเนนต์ของระบบที่ยังคงปรากฎช่องโหว่เหล่านี้เป็นจำนวนมากยังได้แก่ส่วนที่เป็น Media Framework ซึ่งผู้โจมตีสามารถสร้างไฟล์ซึ่งเมื่อถูกประมวลผลด้วย Media Framework จะทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้ อีกหนึ่งช่องโหว่มาจากส่วน System ในโมดูลที่เกี่ยวข้องกับไฟล์ PAC และส่วนที่เหลือเป็นช่องโหว่ระดับวิกฤติจากคอมโพเนนต์ของ Qualcomm

ผู้ใช้งานสามารถรับแพตช์ได้ทันทีตั้งแต่วันนี้เป็นต้นไป โดยความช้า-เร็วในการรับแพตช์จะขึ้นอยู่กับผู้ผลิตในแต่ละราย ข้อมูลเกี่ยวกับช่องโหว่แบบมีรายละเอียดครบถ้วนสามารถตรวจสอบได้ที่ https://source.

Google ได้ทำการแก้ไข 2 ช่องโหว่สำคัญ (critical) ที่เกี่ยวกับ remote code execution และช่องโหว่ระดับความรุนแรงสูง (high) 9 ช่องโหว่ ที่เกี่ยวกับการยกระดับสิทธิ์ และช่องโหว่การเปิดเผยข้อมูล ของ Android Open Source Project (AOSP) ซึ่งเป็นแหล่งรวบรวมข้อมูล และ Source Code สำหรับให้นักพัฒนา Android นำไปใช้งาน เมื่อช่วงต้นเดือนที่ผ่านมา

CVE-2019-2027 และ CVE-2019-2028 เป็นช่องโหว่ที่สำคัญที่ส่งผลกระทบต่อ Media framework ซึ่งอาจทำให้ผู้โจมตีสามารถสั่งรันโค้ดอันตรายบนระบบได้ ส่งผลกระทบต่อ Android 7.0 หรือใหม่กว่าทั้งหมด ช่องโหว่อีก 9 ช่องโหว่เป็นการยกระดับสิทธิ์เพื่อเปิดเผยข้อมูล (CVE-2019-2026) ส่งผลกระทบต่ออุปกรณ์ Android 8.0 หรือใหม่กว่า ผู้ใช้งานควรทำการอัพเดตแพทซ์ล่าสุดเพื่อลดความเสี่ยง

ที่มา: bleepingcomputer.

Google ออกแพตช์ความปลอดภัยให้กับ Android

Google ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ให้กับระบบ Android ในปี 2019 แล้วสองแพตช์คือ 2019-01-01 patch level และ 2019-01-05 security patch level

2019-01-01 patch level มีการแก้ไขช่องโหว่ทั้งหมด 13 ช่องโหว่ โดยช่องโหว่ที่สำคัญคือช่องโหว่ CVE-2018-9583 มีผลกระทบร้ายแรงมาก (critical) เป็นช่องโหว่ที่ทำให้ผู้ไม่หวังดีสามารถโจมตีด้วยการส่งคำสั่งให้ทำงานจากระยะไกลได้

2019-01-05 security patch level มีการแก้ไขช่องโหว่ทั้งหมด 14 ช่องโหว่ โดยช่องโหว่ที่สำคัญคือช่องโหว่ CVE-2018-11847 มีผลกระทบร้ายแรงมาก (critical) เช่นกัน เป็นช่องโหว่ในส่วนของ Qualcomm ที่ทำให้แอปที่มีคำสั่งอันตรายบนเครื่องสามารถรันคำสั่งอันตรายได้

ผู้ใช้งานควรตรวจสอบและทำการอัปเดตรุ่นของระบบ Android ให้เป็นปัจจุบันเพื่อลดความเสี่ยง

ที่มา : securityaffairs

Google ได้ปล่อยแพทช์รักษาความปลอดภัยเดือนกันยายนปี 2018 สำหรับ Android ซึ่งแก้ไขปัญหาได้มากกว่า 50 ช่องโหว่

แพทช์รักษาความปลอดภัย Android ในเดือนกันยายน 2018 แบ่งออกเป็นสองส่วนคือระดับแพทช์การรักษาความปลอดภัย 2018-09-01 ซึ่งสามารถแก้ไขข้อบกพร่องได้ 24 ข้อและแพทช์ความปลอดภัย 2018-09-05 ซึ่งมีข้อบกพร่องทั้งหมด 35 ข้อ

มี 5 ช่องโหว่ในแพทช์รักษาความปลอดภัย 2018-09-01 ได้รับการจัดอันดับความรุนแรง Critical 3 ช่องโหว่เป็นปัญหาเรื่องการยกระดับสิทธิพิเศษที่มีผลต่อระบบ ในขณะที่ส่วนที่เหลืออีก 2 ข้อเป็นช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Media framework

Google ยังกล่าวถึงช่องโหว่ที่มีความเสี่ยงสูงใน Android runtime, Framework, Library, Media framework และ System รวมถึงปัญหาความรุนแรงระดับปานกลาง 2 เรื่องใน Media framework and System ซึ่งช่องโหว่ดังกล่าวส่วนใหญ่จะส่งผลกระทบต่อ Android เวอร์ชัน 7.0, 7.1.1, 7.1.2, 8.0, 8.1 และ 9.0 แต่มีเพียงบางส่วนเท่านั้นที่พบว่ามีผลต่อ Android 8.0 และแพลตฟอร์มใหม่ ๆ

35 ช่องโหว่ในแพทช์รักษาความปลอดภัย 2018-09-05 ซึ่ง 6 ช่องโหว่อยู่ในระดับความรุนแรง Critical, 27 ช่องโหว่อยู่ในระดับความรุนแรง High และ 2 ช่องโหว่ถือว่าเป็นความรุนแรงปานกลาง ซึ่งเป็นช่องโหว่ใน Framework, Kernel components, และ Qualcomm components

ที่มา : securityweek

Google ติดตามการเคลื่อนไหวของผู้ใช้งานได้ตลอดเวลาจากฟีเจอร์ Location

ในทุกครั้งที่มีการใช้งานแอปพลิเคชั่นยอดนิยมอย่าง Google Maps ผู้ใช้จำเป็นต้องเปิดฟีเจอร์ค้นหาตำแหน่งหรือ Location เพื่อระบุตำแหน่ง ซึ่งในการเปิดใช้งานฟีเจอร์ Location ทุกครั้งจำเป็นต้องได้รับความยินยอมจากผู้ใช้งานเพื่อค้นหาเส้นทางและเมื่อสิ้นสุดการใช้งานผู้ใช้ส่วนใหญ่จะทำการปิดฟีเจอร์ Location ไว้ชั่วคราวเพื่อความเป็นส่วนตัวของผู้ใช้ในการใช้งาน แต่จากการตรวจสอบล่าสุดแสดงให้เห็นว่าทาง Google ยังมีการติดตามผู้ใช้งานอยู่ตลอดเวลา

Associated Press เปิดเผยว่าบริการของ Google จำนวนมากบนอุปกรณ์ Android และ iPhone ทำการเก็บข้อมูล Location ของผู้ใช้ไว้ใน "Location History" บนโทรศัพท์มือถือของผู้ใช้แม้ว่าจะมีคำสั่งหยุดการทำงาน Location ชั่วคราวก็ตาม ปัญหาดังกล่าวส่งผลกระทบกับผู้ใช้งาน Android ประมาณสองพันล้านรายและผู้ใช้งาน iPhone นับร้อยล้านคนทั่วโลกที่ใช้งานแอพพลิเคชั่น Google Map ในการค้นหาเส้นทาง

หากผู้ใช้งานไม่ต้องการให้ Google ติดตามการเคลื่อนไหวได้ตลอดเวลา ผู้ใช้สามารถตั้งค่าให้ปิดการใช้งาน "Location History" ได้

ที่มา : thehackernews

นักวิจัยด้านความปลอดภัยนำเสนอช่องโหว่กว่า 47 ช่องโหว่ในเฟิร์มแวร์และอีก 25 ช่องโหว่ในแอปพลิเคชันบนระบบปฏิบัติการ Android ในงานประชุมด้านความปลอดภัย DEF CON ที่ลาสเวกัส

ช่องโหว่ที่พบมีความรุนแรงตั้งแต่ทำให้อุปกรณ์ทำงานผิดพลาดเล็กน้อยไปจนถึงช่องโหว่ร้ายแรงที่ทำให้ได้รับสิทธิ์ root ของอุปกรณ์ ซึ่งหากมีผู้โจมตีด้วยช่องโหว่ร้ายแรงจะสามารถเข้าถึงข้อมูลเรียกดูหรือส่งข้อความ SMS จากโทรศัพท์ของผู้ใช้, ถ่ายภาพหน้าจอหรือบันทึกวิดีโอจากหน้าจอโทรศัพท์เรียกดูรายชื่อผู้ติดต่อของผู้ใช้ บังคับให้ติดตั้งแอพพลิชันโดยพลการโดยไม่ต้องใช้การยินยอมจากผู้ใช้ หรือแม้แต่ลบข้อมูลทั้งหมดของผู้ใช้ออกจากอุปกรณ์

ช่องโหว่เหล่านี้ถูกค้นพบในแอปพลิเคชันเริ่มต้นที่ติดตั้งไว้ล่วงหน้าบนอุปกรณ์และอยู่ในเฟิร์มแวร์ของไดรเวอร์หลักที่ไม่สามารถลบออกได้ ซึ่งยี่ห้อของสมาร์ทโฟนที่พบช่องโหว่ดังกล่าวได้แก่ ZTE, Sony, Nokia, LG, Asus, Alcatel, Vivo, SKY, Plum, Orbic, Oppo, MXQ, Leagoo, Essential, Doogee และ Coolpad

ที่มา : bleepingcomputer

แอพพลิเคชัน Android ยอดนิยมบางตัวที่ติดตั้งในโทรศัพท์ อาจมีช่องโหว่เสี่ยงต่อการถูกโจมตีแบบใหม่ที่ชื่อว่า "Man-in-the-Disk (MitD)" ซึ่งทำให้แอพพลิเคชั่นอื่น crash และเรียกรัน code ที่เป็นอันตรายได้

ทีมงาน Check Point พบการโจมตีแบบ Man-in-the-Disk (MitD) ที่เกี่ยวกับความสามารถในการใช้ "External Storage" ของ Android OS เนื่องจากนักพัฒนาแอพพลิเคชั่นบางรายไม่ชอบใช้พื้นที่จัดเก็บข้อมูลภายใน เพราะหากมีขนาดใหญ่มากอาจจะทำให้ผู้ใช้ตัดสินใจไม่ใช้งานแอพพลิเคชั่นดังกล่าว ทำให้ต้องขอใช้สิทธิ์ในการเข้าถึง External Storage เช่น SD Card หรืออุปกรณ์เก็บข้อมูล USB ที่ต่ออยู่กับโทรศัพท์ และจัดเก็บไฟล์ของแอพพลิเคชั่นไว้ที่นั่น

Man-in-the-Disk ทำงานได้เนื่องจากสาเหตุสองประการ สาเหตุแรกคือแอพพลิเคชั่นใด ๆ ที่ใช้การจัดเก็บข้อมูลภายนอกสามารถถูกแทรกแซงจากแอพพลิเคชั่นอื่นได้ สาเหตุที่สองเนื่องจากแอพพลิเคชั่นเกือบทั้งหมดที่ขออนุญาตใช้งานการจัดเก็บข้อมูลภายนอก ผู้ใช้มักจะมองข้ามและอนุญาตให้งานได้ทันที โดยไม่ได้คำนึงถึงความเสี่ยงด้านความปลอดภัย

ในระหว่างการทดสอบ นักวิจัยของ Check Point ได้ทำการสร้างแอพพลิเคชั่นขึ้นมา และใช้แอพพลิเคชั่นดังกล่าวที่ได้รับอนุญาตให้ใช้งานการจัดเก็บข้อมูลภายนอก โจมตีแอพพลิเคชั่นอื่น และผลลัพธ์แรกที่ได้คือสามารถทำให้แอพพลิเคชั่นเกิดการ crash โดยการแทรกข้อมูลที่ผิดปกติลงไป เพื่อให้เกิดช่องโหว่ และใช้ประโยชน์จากช่องโหว่นั้นเพื่อใส่ code ที่เป็นอันตราย ทั้งนี้หากแอพพลิเคชั่นที่ถูกทำให้ crash มีสิทธิ์สูงกว่าแอพพลิเคชั่นที่ใช้โจมตี จะทำให้ผู้โจมตีได้รับสิทธิ์ดังกล่าว

ผลลัพธ์ที่สองคือสามารถหลอกให้แอพพลิเคชั่นทำการอัพเดทไปเป็นเวอร์ชั่นปลอมที่ผู้โจมตีสร้างขึ้นมาได้ โดยแอพพลิเคชั่นที่ถูกใช้โจมตีนั้นจะทำการตรวจสอบพื้นที่เก็บข้อมูลภายนอก เพื่อดูช่วงเวลาที่แอพพลิเคชั่นจะทำการอัปเดต เนื่องจากบางแอพพลิเคชั่นจะใช้ External Storage เพื่อเก็บไฟล์การอัปเดตชั่วคราวก่อนที่จะใช้ทำการอัปเดต ผู้โจมตีสามารถเปลี่ยนไฟล์เหล่านั้นและหลอกให้แอพพลิเคชันติดตั้งเวอร์ชั่นที่เป็นของตัวเอง

นักวิจัยระบุว่าพบแอพพลิเคชั่นยอดนิยมบางรายการที่มีช่องโหว่ดังกล่าว ซึ่งรวมถึงแอพพลิเคชั่น Google บางตัวที่ติดตั้งไว้ล่วงหน้าอยู่แล้วในอุปกรณ์ Android เช่น Google Translate, Google Voice Typing, Yandex Translate เป็นต้น และยังได้ระบุด้วยว่าปัจจัยหลักที่ทำให้การโจมตีนี้สำเร็จได้นั้น เกิดจากการที่ Developer ไม่ยอมทำตามคำแนะนำใน "Android security guidelines" เกี่ยวกับการใช้งานพื้นที่เก็บข้อมูลภายนอก (External Storage)

คำแนะนำสำหรับ developer

ควรทำการตรวจสอบความถูกต้องของข้อมูล Input เมื่อมีการใช้ข้อมูลจากที่จัดเก็บข้อมูลภายนอก
อย่าเก็บไฟล์ executable หรือ class ไฟล์ไว้ในที่จัดเก็บข้อมูลภายนอก
ไฟล์จัดเก็บข้อมูลภายนอกควรมีการ sign และตรวจสอบการเข้ารหัสก่อนการโหลดแบบไดนามิก

ที่มา : bleepingcomputer

ทีมนักวิจัยนานาชาติได้เปิดเผยว่าอุปกรณ์ Android ที่เปิดตัวตั้งแต่ปี 2012 เกือบทุกเครื่อง เสี่ยงต่อช่องโหว่ในหน่วยความจำตัวใหม่ชื่อว่า "RAMpage"

ย้อนกลับไปก่อนหน้านี้ได้มีการค้นพบช่องโหว่ CVE-2018-9442 เป็นรูปแบบของการโจมตีที่เรียกว่า "Rowhammer" ซึ่งเป็นช่องโหว่ของฮาร์ดแวร์ในการ์ดหน่วยความจำรุ่นใหม่ เมื่อมีคนส่งคำสั่ง write/read เข้าไปยัง memory cell เดียวกันซ้ำๆ จะทำให้เกิดสนามไฟฟ้าที่จะสามารถเปลี่ยนแปลงข้อมูลที่เก็บอยู่ในหน่วยความจำใกล้เคียง และพบว่าสามารถโจมตีโดยใช้ Rowhammer ผ่านทาง JavaScript, GPU card และ network packet ได้

RAMpage เป็นช่องโหว่จำพวกเดียวกับ Rowhammer โดยช่องโหว่นี้สามารถทำลายขอบเขตการป้องกันความปลอดภัยระหว่างแอพพลิเคชั่น และระบบปฏิบัติการที่ได้ออกแบบมาบนอุปกรณ์มือถือ ซึ่งช่วยป้องกันไม่ให้แอพพลิเคชั่นใดๆที่ลงบนอุปกรณ์สามารถอ่านข้อมูลจากแอพพลิเคชั่นอื่นๆที่ลงบนเครื่องได้ แต่แอพพลิเคชั่นที่ถูกดัดแปลงให้ใช้ช่องโหว่นี้ จะสามารถโจมตีเพื่อเพิ่มสิทธิ์ตนเองให้สามารถควบคุมเครื่อง และทำการอ่านข้อมูลสำคัญๆที่ถูกเก็บอยู่บนเครื่องได้ เช่น พาสเวิร์ดที่อยู่ใน password manager หรือบน browser, รูปถ่าย, email, chat และเอกสารสำคัญทางธุรกิจต่างๆที่อยู่บนเครื่อง

โดยความแตกต่างระหว่างช่องโหว่ก่อนหน้านี้(Drammer Rowhammer) และ RAMpage Rowhammer เวอร์ชันใหม่คือ RAMpage มุ่งเป้าหมายไปที่ระบบหน่วยความจำ Android ที่เรียกว่า ION ซึ่งเป็นส่วนหนึ่งของระบบ Android ที่ใช้จัดการหน่วยความจำระหว่างแอพพลิเคชั่นและระบบปฏิบัติการ ทั้งนี้ Google ได้มีการเปิดตัว ION ใน Android 4.0 (Ice Cream Sandwich) ตั้งแต่วันที่ 18 ตุลาคม 2554

ที่มา : BLEEPINGCOMPUTER

ผู้เชี่ยวชาญด้านความปลอดภัยของ Android กำลังเตือนผู้ใช้ว่า มีนักพัฒนาแอนดรอยด์บางคนหลอกล่อให้ผู้ใช้ติดตั้งแอปของตนโดยการลงทะเบียนบัญชีนักพัฒนาซอฟต์แวร์ Google Play Store เป็นจำนวนการ installs เช่น "1 million installs," Installs 1,000,000," "100,000,000 Downloads," "5,000,000+," "1,000,000,000" และอื่นๆที่รูปแบบคล้ายกัน ทำให้ผู้ใช้งานเผลอติดตั้งแอปผิดพลาดอย่างไม่ได้ตั้งใจ

เทคนิคนี้เป็นวิธีที่ง่าย แต่มีประสิทธิภาพในการทำให้ผู้ใช้เข้าใจผิดโดยเฉพาะอย่างยิ่งผู้ที่เลือกแอปตามความนิยม แม้แอปเหล่านี้จะไม่มีอันตราย แต่ก็อาจถูกใช้แพร่เชื้อมัลแวร์ในอนาคตได้อย่างง่ายดาย โชคดีที่เทคนิคนี้ยังง่ายต่อการตรวจสอบหากผู้ใช้ระวังในใช้ Google Play Store นักวิจัยมัลแวร์จาก ESET "Lukas Stefanko" ออกมาเปิดเผยเทคนิคใหม่ที่ผู้พัฒนามัลแวร์บนแอนดรอยด์ใช้เพื่อหลอกผู้ใช้ว่าแอปมีความน่าเชื่อถือ โดยมีจุดประสงค์เพื่อให้ผู้ใช้หลงเชื่อและติดตั้งแอปที่เป็นมัลแวร์

เทคนิคนี้อาศัยการสมัครบัญชีสำหรับนักพัฒนาแอปที่สามารถส่งแอปขึ้นไปบน Google Play Store ได้ โดยแทนที่จะใส่ชื่อของนักพัฒนาแอปจริงๆ ลงไปในบัญชี ผู้ร้ายจะทำการเปลี่ยนชื่อเป็น "1 million installs," Installs 1,000,000," "100,000,000 Downloads," "5,000,000+," "1,000,000,000" แทน ซึ่งเมื่อแอปถูกนำขึ้น Google Play Store ในส่วนของชื่อของผู้พัฒนาแอปจะถูกแทนที่ด้วยคำในลักษณะนี้ และทำให้ผู้ใช้งานหลงเชื่อว่าเป็นแอปจริงได้

สิ่งที่ต้องคำนึงถึง เมื่อติดตั้งแอป
- Google จะใส่ข้อมูลที่เป็นทางการในช่องพิเศษบนหน้า Play สโตร์ของแอปเท่านั้น
- หมายเลขจำนวนการ install ของ Google จะปรากฏในส่วน "ข้อมูลเพิ่มเติม" ที่ด้านล่างของหน้า Play สโตร์ของแต่ละแอป
- หากจำนวนการ install มีน้อย แต่ผู้พัฒนาอ้างเหตุผลต่างๆนาๆที่ไม่ชอบมาพากล แอปจะเป็นอันตรายอย่างเห็นได้ชัด
- Google Play ไม่มีป้าย "Verified" ดังนั้นอย่าเชื่อว่านักพัฒนาแอปอาจอ้างสิทธิ์ในไอคอนแอปของตน
- อ่านบทวิจารณ์ของผู้ใช้ก่อนดาวน์โหลดแอปทุกครั้ง ผู้ใช้งานควรตรวจสอบที่มาของแอปอย่างถี่ถ้วนทุกครั้งก่อนติดตั้งแอปใดๆ และควรสังเกตความผิดปกติของแอป เช่น โลโก้, คอมเมนต์รีวิว หรือชื่อของผู้พัฒนาก่อนที่จะติดตั้งแอปเสมอ

ที่มา : bleepingcomputer

Karsten Nohl และ Jakob Lell นักวิจัยด้านความปลอดภัยจาก Security Research Labs (SRL) ได้ออกมาเปิดเผยงานวิจัยว่า ผู้ผลิตแอนดรอยด์พร้อมซอฟต์แวร์ (OEM) หลายเจ้าซึ่งรวมไปถึง Samsung, Xiaomi, OnePlus, Sony, HTC, LG และ Huawei นั้นไม่ได้มีการปล่อยแพตช์ด้านความปลอดภัยให้ผู้ใช้งานแม้ว่าจะมีการออกแพตช์อย่างเป็นทางการมาจาก Google ในทุกๆ เดือนแล้วก็ตาม

งานวิจัยของ SRL เปิดเผยจากการทดสอบอุปกรณ์กว่า 1200 เครื่องและพบว่าผู้ผลิตบางเจ้านอกจากจะไม่ได้ปล่อยแพตช์ด้านความปลอดภัยออกมาให้กับผู้ใช้งานแล้ว ยังมีการเปลี่ยนแปลงวันที่อัปเดตของแพตช์ด้านความปลอดภัยเป็นวันที่ล่าสุดเพื่อตบตาผู้ใช้งานว่าได้ทำการอัปเดตแล้วด้วย โดยเมื่อแยกแพตช์ด้านความปลอดภัยในระดับวิกฤติและในระดับสูง ผู้ผลิตหลายรายไม่ได้ปล่อยแพตช์แยกได้ดังนี้

- Google, Sony, Samsung และ Wiko Mobile มีกรณีที่ไม่ได้ปล่อยแพตช์น้อยที่สุดเพียงครั้งเดียว
- Xiaomi, OnePlus และ Nokia มีกรณีที่ไม่ได้ปล่อยแพตช์ 1-3 ครั้ง
- HTC, Hauwei, LG และ Motorola มีกรณีที่ไม่ได้ปล่อยแพตช์ 3-4 ครั้ง
- TCL และ ZTE มีกรณีที่ไม่ได้ปลอดภัยแพตช์มากกว่า 4 ครั้ง

SRL ได้แนะนำให้ผู้ใช้งานตรวจสอบระดับความปลอดภัยของแอนดรอยด์ที่้ใช้งานอยู่ด้วยผ่านทางแอปซึ่งทาง SRL ออกแบบชื่อ SnoopSnitch ซึ่งจะช่วยตรวจสอบข้อเท็จจริงจากคำกล่าวอ้างของผู้ผลิตได้ด้วย

ที่มา : thehackernews