แพตช์ประจำเดือนของแอนดรอยด์หรือ Android Security Bulletin ประจำเดือนมีนาคม 2018 ถูกประกาศออกมาแล้ว โดยภายในเดือนนี้นั้นมีช่องโหว่ระดับร้ายแรงสูงสุด (critical) จำนวน 11 จากทั้งหมด 37 ช่องโหว่ที่ถูกแพตช์ ซึ่งส่วนมากเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล

สำหรับช่องโหว่ที่ร้ายแรงที่สุดในรอบนี้ก็ยังหนีไม่พ้นที่จะมาจากตำแหน่งโดยกับที่ช่องโหว่ Stagefright เคยอยู่คือส่วนของ Media Framework การโจมตีช่องโหว่ดังกล่าวสามารถทำได้โดยการส่งไฟล์มีเดียที่ถูกสร้างแบบพิเศษไปให้ผู้ใช้งานเปิด เมื่อการโจมตีช่องโหว่สำเร็จ ผู้โจมตีจะสามารถรันโค้ดอันตรายได้ด้วยสิทธิ์เดียวกับโปรเซสที่ถูกโจมตี

ที่มา : Threatpost

Google ประกาศแพตช์ด้านความปลอดภัยสำหรับอุปกรณ์แอนดรอยด์ประจำเดือนกุมภาพันธ์ 2018 แล้ว โดยในรอบนี้มีช่องโหว่ทั้งหมด 29 ช่องโหว่ และมีช่องโหว่ระดับ Critical อยู่ 4 ช่องโหว่

แนะนำให้ผู้ใช้งานตรวจสอบกับอุปกรณ์ว่ามีการอัปเดตแล้วหรือไม่ หากมีการปล่อยแพตช์แล้วแนะนำให้ทำการอัปเดตเพื่อป้องกันการโจมตีโดยด่วน

ที่มา : Android

มัลแวร์แอนดรอยด์ที่เขียนขึ้นโดย Kotlin พบใน Play Store

นักวิจัยด้านความปลอดภัยด้านไอทีของ Trend Micro ได้ค้นพบ Android OS Androidos_Bkotklind.

Android ออกประกาศด้านความปลอดภัยมีรายละเอียดเกี่ยวกับช่องโหว่ที่ส่งผลกระทบต่ออุปกรณ์ของ Android เวอร์ชันของแพทช์ตั้งแต่ 2018-01-05 เป็นต้นมามีการระบุถึงประเด็นเหล่านี้ทั้งหมด ผู้มีส่วนเกี่ยวข้องทั้งหมดได้รับการแจ้งเตือนอย่างน้อยหนึ่งเดือนก่อนการประกาศ โค้ดสำหรับการแพทช์ช่องโหว่ดังกล่าวได้ถูกปล่อยที่ Android Open Source Project (AOSP) ช่องโหว่ที่ร้ายแรงที่สุดคือ ช่องโหว่ในโครงสร้างมีเดียซึ่งทำให้ผู้ที่โจมตีสามารถรีโมทเข้ามาเพื่อสั่งรันโค้ดอันตรายได้

แนะนำให้ตรวจสอบแพตช์จากผู้ผลิตและทำการอัปเดตโดยด่วน

ที่มา : Source.

นักวิจัยด้านความปลอดภัยจาก Kromtech Security Center รายงานว่า ข้อมูลส่วนตัวของผู้ใช้งานมากกว่า 31 ล้านคน รวมปริมาณข้อมูลมากกว่า 577 GB ได้ถูกเผยแพร่ สาเหตุเกิดจากฐานข้อมูล MongoDB ที่ถูกตั้งค่าความปลอดภัยไว้ไม่ดี ซึ่งเป็นของ Ai.Type บริษัทที่ได้รับความนิยมในการพัฒนา Virtual Keyboard แอพพลิเคชั่นที่สามารถปรับแต่งได้ตามต้องการสำหรับ Android และ iOS

จากข่าวรายงานว่าแอพพลิเคชั่นของ Ai.Type เป็น Virtual Keyboard ที่มีการร้องขอใช้งานระดับสิทธิ์แบบ Full Access ส่งผลให้สามารถรวบรวมข้อมูลอื่น ที่อยู่ในมือถือนอกเหนือจากข้อมูลของแอพพลิเคชั่นเองได้ด้วย โดยข้อมูลที่รั่วไหลประกอบด้วย

• ชื่อ, หมายเลขโทรศัพท์, และที่อยู่อีเมล
• ชื่ออุปกรณ์, ความละเอียดหน้าจอ, และรายละเอียดของรุ่น
• เวอร์ชัน Android, หมายเลข IMSI, และหมายเลข IMEI
• ชื่อเครือข่ายมือถือ, ประเทศที่อาศัยอยู่, และภาษาที่ผู้ใช้เปิดใช้งาน
• IP Address (ถ้ามี) พร้อมกับตำแหน่ง GPS (ลองจิจูด / ละติจูด)
• ข้อมูลที่เชื่อมโยงกับโปรไฟล์โซเชียลมีเดีย ประกอบด้วย วันเกิด, อีเมลล์ และภาพถ่าย

ที่มา : zdnet

กูเกิลเก็บข้อมูลที่อยู่ปัจจุบันของผู้ใช้งานแอนดรอยด์แม้ฟีเจอร์เก็บข้อมูลจะถูกปิด

Quartz ได้มีการเปิดเผยรายงานสำคัญซึ่งระบุว่ากูเกิลมีการเก็บข้อมูลที่เป็นที่อยู่ปัจจุบันของผู้ใช้งานแอนดรอยด์ (location) ซึ่งข้อมูลดังกล่าวจะถูกส่งกลับไปยังกูเกิลทันทีเมื่ออุปกรณ์มีการต่ออินเตอร์เน็ตแม้ว่าอุปกรณ์ที่ใช้งานดังกล่าวจะถูกปิดฟีเจอร์ Location Service ไม่มีการใช้งานแอปใดๆ หรือแม้กระทั่งไม่มีการใส่ซิมการ์ด

Quartz ระบุว่าข้อมูลเกี่ยวกับที่อยู่ปัจจุบันของผู้ใช้งานมีการเริ่มต้นเก็บและส่งกลับไปให้ทางกูเกิลตั้งแต่ต้นปี 2017 โดยวิธีการหนึ่งที่กูเกิลใช้ในการหาที่อยู่ปัจจุบันของผู้ใช้งานแม้ว่าผู้ใช้งานจะปิดฟีเจอร์ Location Service ไปแล้วนั้นคือการอาศัยการเก็บข้อมูลจากเสาส่งสัญญาณที่อยู่บริเวณนั้นจนระบุพิกัดของผู้ใช้งานได้

ทางกูเกิลได้ออกมายืนยันกับ Quartz ว่าการเก็บข้อมูลดังกล่าวเกิดขึ้นจริง โดยยืนยันว่าการเก็บข้อมูลดังกล่าวนั้นถูกนำไปใช้เพื่อช่วยพัฒนาประสิทธิภาพของผลิตภัรฑ์ ไม่มีการนำข้อมูลออกจากเครือข่ายหรือใช้ร่วมกับบริการอื่นโดยที่ไม่แจ้งผู้ใช้ล่วงหน้า กูเกิลยังระบุว่าการเก็บข้อมูลดังกล่าวจะถูกหยุดและจะไม่มีการส่งข้อมูลใดๆ มาอีกหลังจากปลายเดือนนี้

ที่มา : QUARTZY

พบมัลแวร์ตัวใหม่ที่ใช้ช่องโหว่ของการทับซ้อนหน้าจอบน Android ที่ติดตั้งไว้ก่อนหน้านี้ ทำให้สามารถติดตั้งมัลแวร์เพิ่มเติมและใช้สิทธิ์ต่างๆ ในการเข้าถึงโทรศัพท์ได้

มัลแวร์นี้มีชื่อว่า ToastAmigo ถูกตรวจพบโดย Trend Micro ว่าเป็น ANDROIDOS_TOASTAMIGO และใช้ประโยชน์จากช่องโหว่ชื่อ Toast รหัส CVE-2017-0752

ToastAmigo ถูกซ่อนอยู่ภายในแอปสองแอปที่มีอยู่ใน Google Play Store ภายใต้ชื่อ Smart AppLocker โดยแอปทั้งสองจะให้ผู้ใช้ตั้งค่า PIN เพื่อเปิดแอปพลิเคชัน ซึ่งแตกต่างจากระบบล็อคแบบเดิมของอุปกรณ์ แอปพลิเคชันตัวหนึ่งได้รับการดาวโหลดมากกว่า 500,000 ครั้ง ในวันที่ 6 พฤศจิกายน 2017

เมื่อผู้ใช้เปิดแอป ToastAmigo จะเปิดการโจมตี Toast Overlay โดยแสดงการแจ้งเตือนของ Toast ที่ครอบคลุมทั้งหน้าจอและแสดงหน้าตาของแอปปลอม ในความเป็นจริงด้านหลังของการแจ้งเตือน Toast จะอาศัยการควบคุม User Interface ของแอปจริง ซึ่งจะหลอกลวงให้ผู้ใช้เข้าถึงแอปพลิเคชันที่เป็นอันตรายในบริการ Android Accessibility ซึ่งเป็นฟีเจอร์ที่ทำให้แอปสามารถดำเนินการได้ในนามของผู้ใช้ ผู้ใช้งานที่ไม่สงสัยอาจคิดว่ากำลังโต้ตอบกับแอปจริงเอง

หลังจากที่ใช้การโจมตี Toast Overlay เพื่อเข้าถึงบริการ Android Accessibility ToastAmigo จะดำเนินการต่างๆ ตามลำดับอย่างรวดเร็วและติดตั้งแอปที่มีมัลแวร์ชื่อ AmigoClicker มัลแวร์ตัวที่สองนี้เป็น Adware ที่ติดตั้ง Proxy บนอุปกรณ์และโหลดโฆษณาเพื่อรับผลประโยชน์ทางการเงิน

ปัจจุบัน Google ได้ลบแอปพลิเคชันทั้งสองตัวออกจาก Play Store เรียบร้อยแล้ว วิธีการป้องกันตัวเองจาก ToastAmigo คือการตรวจสอบให้แน่ใจว่ามีการดาวโหลดแพชต์เดือนกันยายน ผู้ใช้ควรดาวโหลดแอปจาก Google Play เป็นหลัก

ที่มา : scmagazine

แพตช์ช่องโหว่ Anroid ประจำเดือนกันยายน 2017 มาแล้ว

แพตช์ช่องโหว่ Android ประจำเดือนกันยายน 2017 มาแล้ว โดยในรอบนี้นั้นมีช่องโหว่ที่ถูกแพตช์ทั้งหมดประมาณ 80 รายการ โดยจากทั้งหมด 80 รายการ มีช่องโหว่ที่มีความร้ายแรงระดับสูงสุด (critical) ที่สามารถทำให้ผู้โจมตีข้ามผ่านฟีเจอร์ Secure Boot, รันโค้ดที่เป็นอันตรายด้วยสิทธิ์ระดับสูงได้จากระยะไกลหรือทำให้เครื่อง DoS จากระยะไกลได้แบบถาวร ทั้งหมด 15 รายการ

จากช่องโหว่ที่มีความร้ายแรงสูงสุด 15 รายการ จุดที่พบช่องโหว่ร้ายแรงสูงสุดมากที่สุดนั้นยังคงอยู่ใน Media Framework ซึ่งเป็นส่วนที่ใช้ในการอ่านค่าของไฟล์ประเภทสื่อ อาทิ วีดิโอหรือเพลง และยังกระทบแอนดรอยด์เกือบทุกรุ่น ผู้โจมตีเพียงแค่สร้างไฟล์ที่แบบพิเศษเพื่อโจมตีช่องโหว่ส่งให้ผู้ใช้งานก็สามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกลได้

ที่มา : android

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Palo Alto Networks เปิดเผยรายละเอียดการโจมตีบนฟีเจอร์ของ Android ที่เรียกว่า Toast Notification ซึ่งทำให้มัลแวร์ หรือผู้โจมตีได้รับสิทธิ์ระดับ Admin
Toast Notification ถูกใช้ในการแสดงข้อความแจ้งเตือนบนหน้าจอ ซึ่ง Toast Notification จะแสดงอยู่ในตำแหน่งล่าง ๆ ของหน้าจอ เป็น pop-up แสดงข้อความสั้น ๆ ให้ผู้ใช้ทราบ เช่น เมื่อมีการเพิ่มข้อมูล และบันทึกข้อมูลเรียบร้อยแล้ว หรือหน้าต่างสำหรับยืนยันการทำงานต่างๆ
เมื่อเหยื่อหลงกลติดตั้งแอพพลิเคชั่นแล้ว จะมี pop-up แจ้งเตือนให้ผู้ใช้งานดำเนินการบางอย่าง โดยใช้ความสามารถของ Toast Notification ซึ่งจะทำให้ pop-up นั้นได้สิทธิ์ Admin เหนือแอพพลิเคชั่นอื่นๆโดยปริยาย หรือที่เรียกว่า "Draw on top"
Android ที่ได้รับผลกระทบคือ ทุกเวอร์ชันก่อน Android 8.0 Oreo (CVE-2017-0752) จึงแนะนำให้ผู้ใช้อุปกรณ์ Android อัพเกรดเป็นเวอร์ชันล่าสุด 8.0 Oreo หรือดาวน์โหลดแพตซ์ได้ที่ https://source.

พบช่องโหว่ในตัว Android Bootloader จาก 5 ผู้ผลิต chipset ซึ่งทำให้เสีย CoT (Chain of Trust) ระหว่างที่กำลังทำการ boot-up ซึ่งทำให้ตัวเครื่องสามารถถูกโจมตีได้ CoT คือสิ่งที่ถูกสร้างขึ้นจากการตรวจสอบทั้ง hardware และ software จากส่วนย่อย ซึ่งจุดประสงค์ก็เพื่อทำให้แน่ใจว่ามีเพียง software และ hardware ที่ไว้ใจได้เท่านั้นที่อนุญาติให้ใช้งานได้ โดยที่ภาพรวมยังคงประสิทธิภาพเดิมอยู่ ทีมนักวิจัยจึงเริ่มทำการวิจัยเกี่ยวกับช่องโหว่นี้ พบว่าเนื่องจากส่วนต่างๆ ในตัว Android bootloaders เป็น closed source และมักจะไม่มี typical metadata (program headers หรือ debugging symbols) ที่พบในโปรแกรมปกติทั่วไป จึงทำให้การวิเคราะห์ข้อมูลทำได้ยาก ซึ่งข้อมูลเลห่านี้จะช่วยในเรื่องของการทำ reverse engineering และการทำ security audits
งานวิจัยส่วนใหญ่จะเน้นไปที่การพัฒนาเครื่องมือใหม่ที่ชื่อว่า BootStomp ซึ่งจะช่วยในเรื่องของการทำ test และวิเคราะห์ bootloaders ในกรณีนี้จากการใช้ BootStomp เข้ามาทดสอบพบว่ามีช่องโหว่ 7 จุดโดยที่เป็นช่องโหว่ใหม่ 6 ตัวและ ที่เคยพบมาแล้วอีก 1 ตัว(CVE-2014-9798) ช่องโหว่ดังกล่าวบางตัวอาจทำให้ผู้โจมตีสามารถ execute arbitrary code หรือทำการโจมตีแบบ Dos ทีมนักวิจัยได้ให้ข้อมูลเพิ่มเติมว่าเครื่องมือ BootStomp ยังตรวจเจอช่องโหว่อีกสองตัวที่อาจช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์การเข้าใช้งานของตัวเองให้เป็นสิทธิ์ root บนระบบได้

ที่มา : bleepingcomputer