Apple ระงับการฉ้อโกงใน App Store ไปกว่า 7 พันล้านดอลลาร์ใน 4 ปี

Apple ระบุในการวิเคราะห์การป้องกันการฉ้อโกงประจำปีล่าสุดว่า เทคโนโลยีในการต่อต้านการฉ้อโกงของ Apple ได้ปิดกั้นการทำธุรกรรมที่อาจเป็นการฉ้อโกงมูลค่ามากกว่า 7 พันล้านดอลลาร์ในสี่ปี

ตั้งแต่ปี 2020 ถึง 2023 บริษัทตรวจพบบัตรเครดิตที่ถูกขโมยมาใช้มากกว่า 14 ล้านใบ และบล็อกไม่ให้ทำธุรกรรมบนแพลตฟอร์มพร้อมกับบัญชี 3.3 ล้าน accounts

สถิติในปีที่แล้วแสดงให้เห็นว่า Apple หยุดธุรกรรมที่น่าสงสัยมูลค่า 1.8 พันล้านดอลลาร์ ซึ่งน้อยกว่าในปี 2022 ที่บล็อกธุรกรรมที่น่าสงสัยไป 2 พันล้านดอลลาร์เล็กน้อย

รายงานยังระบุว่า ตลอดปี 2023 Apple ยังป้องกันการใช้งานบัตรเครดิตที่ถูกขโมยมากว่า 3.5 ล้านใบสำหรับการซื้อที่ App Store และแบน accounts มากกว่า 1.1 ล้าน accounts จากการทำธุรกรรมอีกครั้ง

ในแง่ของความปลอดภัยของแอป และการบังคับใช้นโยบายความเป็นส่วนตัว เมื่อปีที่ผ่านมา Apple ปฏิเสธที่แอปที่ถูกส่งเข้ามามากกว่า 1.7 ล้านรายการที่ไม่เป็นไปตามมาตรฐานของ App Store ในด้านความเป็นส่วนตัว ความปลอดภัย และเนื้อหา

ในจำนวนนี้ 248,000 รายการถูกปฏิเสธเนื่องจากเป็นสแปม ลอกเลียนแบบ หรือทำให้ผู้ใช้งานเข้าใจผิด
38,000 รายการถูกปฏิเสธเนื่องจากมีคุณลักษณะที่ซ่อนอยู่ หรือไม่มีเอกสารอ้างอิง
375,000 รายการถูกปฏิเสธเนื่องจากการละเมิดความเป็นส่วนตัวต่าง ๆ
47,000 รายการถูกปฏิเสธเนื่องจากเป็นแอปที่ผิดกฎหมายละเมิดลิขสิทธิ์
40,000 รายการถูกถอดออก หรือปฏิเสธเพราะใช้กลยุทธ์ "bait-and-switch"
และ 98,000 รายการคาดว่า "อาจฉ้อโกง" และถูกบล็อกไว้ก่อน

ทีมตรวจสอบแอปซึ่งประกอบด้วยผู้เชี่ยวชาญ 500 คน ตรวจสอบแอปที่ส่งเข้ามา 6.9 ล้านรายการในปี 2023 และพบการละเมิดที่นำไปสู่การปฏิเสธคำขอ 1.7 ล้านคำขอ

นอกจากนี้ ปีที่แล้ว Apple ได้แบน accounts ไป 118,000 accounts และ turned down accounts ไป 91,000 accounts

ในส่วนของ accounts ของลูกค้า พบว่ามีการฉ้อโกง 153 ล้าน accounts หรือมีส่วนร่วมในกิจกรรมที่ผิดกฎหมาย 374 ล้าน accounts ซึ่งนำไปสู่การบล็อก หรือปิดการใช้งาน

สุดท้ายนี้ จากคะแนน และรีวิวแอป 1.1 พันล้านรายการที่ผู้ใช้ส่งไปยัง App Store ในปี 2023 มี 152 ล้านรายการที่ถูกพิจารณาว่าเป็นแอปปลอม/ฉ้อโกง และถูกลบออก

Apple แสดงความมุ่งมั่นที่จะยกระดับความความปลอดภัย และความสมบูรณ์ของ App Store การลงทุนด้านความปลอดภัย ขยายโครงการต่อต้านการฉ้อโกง และเสริมความแข็งแกร่งให้กับเทคโนโลยีการชำระเงินที่ปลอดภัย เช่น Apple Pay และ StoreKit

อย่างไรก็ตาม ผู้ใช้ยังงานสามารถดำเนินการเพื่อปกป้องตนเองจากการฉ้อโกงได้ดังนี้:

ดาวน์โหลดเฉพาะแอปจาก App Store อย่างเป็นทางการเท่านั้น หลีกเลี่ยงการใช้งาน third-party แอป
อ่าน reviews ของผู้ใช้งานอื่น ๆ อย่างละเอียด และมองหาสัญญาณของการฉ้อโกง เช่น การให้คะแนนที่สูงอย่างน่าสงสัย พร้อม reviews ที่มีรายละเอียดเพียงเล็กน้อย
ใช้ซอฟต์แวร์จากนักพัฒนาที่มีชื่อเสียงซึ่งมีผลงานจากโครงการที่น่าเชื่อถือเท่านั้น
สังเกตการขอ permissions ที่แอปร้องขอ และปฏิเสธการเข้าถึงที่ไม่จำเป็น
อัปเดตระบบปฏิบัติการ และแอปของอุปกรณ์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ
ลบแอปที่ไม่ได้ใช้งาน และเพิกถอน permissions สำหรับแอปที่ไม่ได้ใช้
อย่างไรก็ตาม แม้จะมีนโยบายที่เข้มงวดสำหรับแอปพลิเคชันที่จะเข้าสู่ App Store แต่ผู้โจมตีบางรายยังคงสามารถหลีกเลี่ยงกลไกการตรวจสอบ และส่งแอปที่เป็นอันตรายเข้าสู่ App Store ได้

ในปีนี้ มีกรณีแอปปลอมที่มีชื่อเสียงโด่งดังสองกรณีถูกเพิ่มเข้าไปใน App Store ของ Apple โดยกรณีหนึ่งเป็นการเลียนแบบเครื่องมือจัดการรหัสผ่าน LastPass และอีกกรณีหนึ่งแอบอ้างเป็นกระเป๋าเงินดิจิทัลของ Leather

ที่มา: bleepingcomputer

Apple แก้ไขช่องโหว่ Zero-Day ที่กำลังถูกใช้ในการโจมตี iPhone รุ่นเก่า

Apple ออกแพตช์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ Zero-Day ที่ถูกพบในเดือนมีนาคม 2024 ใน iPhone และ iPad รุ่นเก่า โดยแจ้งว่าช่องโหว่ดังกล่าวอาจกำลังถูกนำไปใช้ในการโจมตี

CVE-2024-23296 หรือช่องโหว่ RTKit เป็นช่องโหว่จากปัญหา memory corruption ใน Apple's RTKit real-time operating system ทำให้สามารถอ่าน และเขียน kernel ได้ รวมถึงสามารถหลีกเลี่ยงการตรวจจับของ kernel memory protection ทั้งนี้ทาง Apple ยังไม่ได้ระบุว่าช่องโหว่ดังกล่าวเป็นการค้นพบของนักวิจัยด้านความปลอดภัย

โดย Apple ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวแล้วใน iOS 16.7.8, iPadOS 16.7.8 และ macOS Ventura 13.6.7 พร้อม input validation ที่ได้รับการปรับปรุงบนอุปกรณ์ iPhone 8, iPhone 8 Plus, iPhone X, iPad รุ่นที่ 5, iPad Pro 9.7 นิ้ว และ iPad Pro 12.9 นิ้ว รุ่นที่ 1

โดยก่อนหน้านี้ในเดือนมีนาคม 2024 ทาง Apple ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าว สำหรับ iPhone, iPad และ Mac รุ่นใหม่ไปแล้ว

ช่องโหว่ Zero-Day 3 รายการที่ถูกแก้ไขในปี 2024

Apple ยังไม่เปิดเผยว่าใครเป็นผู้คนพบช่องโหว่ รวมถึงไม่ได้ให้ข้อมูลที่เกี่ยวข้องกับลักษณะการโจมตีช่องโหว่ แต่ช่องโหว่ Zero-Day ที่พบใน iOS มักถูกใช้ในการโจมตีแบบ spyware ที่คาดว่าได้รับการสนับสนุนจากรัฐบาล โดยกำหนดเป้าหมายไปที่บุคคลที่มีความเสี่ยงสูง รวมถึงนักข่าว ผู้เห็นต่างทางการเมือง และนักการเมืองฝ่ายค้าน

โดยตั้งแต่ต้นปี 2024 Apple ได้แก้ไขช่องโหว่ 3 รายการ ได้แก่ CVE- 2024-23222 ในเดือนมกราคม 2024, CVE-2024-23225 และ CVE-2024-23296 ในเดือนมีนาคม 2024

รวมถึงออกอัปเดตเพื่อแก้ไขช่องโหว่บนอุปกรณ์รุ่นเก่าสำหรับ WebKit Zero-Day จำนวน 2 รายการ (CVE-2023-42916 และ CVE-2023-42917) ในเดือนมกราคม 2023

แม้ว่าช่องโหว่ดังกล่าวจะส่งผลกระทบต่อเป้าหมายเฉพาะกลุ่ม แต่ผู้ใช้งานก็ควรที่จะทำการอัปเดตให้เร็วที่สุด เพื่อป้องกันการโจมตีที่อาจเกิดขึ้นหากใช้ iPhone หรือ iPad รุ่นเก่า

นอกจากนี้ ในการอัปเดต iOS 17.5 ทาง Apple ได้เพิ่มการแจ้งเตือน tracking alerts ที่ไม่ต้องการ (Google เปิดตัวความสามารถเดียวกันนี้บนอุปกรณ์ Android 6.0+ ) ซึ่งการแจ้งเตือนเหล่านี้จะแจ้งเตือนผู้ใช้ หากมีการใช้อุปกรณ์ Bluetooth tracking (AirTag, อุปกรณ์เสริม Find My หรือ Bluetooth tracker เพื่อติดตามตำแหน่งของผู้ใช้งาน)

ที่มา : bleepingcomputer

Apple เพิ่ม PQ3 Protocol ในการป้องกันการโจมตี Quantum บน iMessage

Apple ได้เพิ่มความสามารถของ iMessage ใหม่ โดยเป็น post-quantum cryptographic protocol ในชื่อ PQ3 ซึ่งได้รับการออกแบบมาเพื่อปกป้องการเข้ารหัสจากการโจมตี quantum attacks (more…)

Apple ออกอัปเดตเพื่อแก้ไขช่องโหว่ Zero-Day ที่พบการโจมตีครั้งแรกในปี 2024

Apple ออกอัปเดตเพื่อแก้ไขช่องโหว่ Zero-Day แรกของปี 2024 หลังจากที่พบว่ากำลังถูกใช้ในการโจมตี ซึ่งอาจส่งผลกระทบต่อ iPhone, Mac และ Apple TV

CVE -2024-23222 เป็นช่องโหว่ที่อยู่ใน WebKit ที่ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลบนอุปกรณ์เป้าหมายได้ เช่น iOS, macOS และ tvOS หลังจากที่เป้าหมายเปิดหน้าเว็บที่เป็นอันตราย (more…)

นักวิจัยจากจีนอ้างว่าสามารถถอดรหัส AirDrop ของ Apple เพื่อค้นหาเบอร์โทรศัพท์ และที่อยู่อีเมลได้

สถาบันวิจัยของจีนที่ได้รับการสนับสนุนจากรัฐบาล อ้างว่าสามารถถอดรหัสไฟล์ Logs จากอุปกรณ์สำหรับฟีเจอร์ AirDrop ของ Apple ได้ ซึ่งทำให้รัฐบาลสามารถระบุเบอร์โทรศัพท์ หรืออีเมลของผู้ส่ง และผู้รับไฟล์ได้

(more…)

“Find My” ของ Apple อาจถูกนำไปใช้เพื่อขโมยข้อมูลจาก keylogged password [EndUser]

นักวิจัยค้นพบเครือข่ายระบุตำแหน่ง "Find My" ของ Apple อาจถูกนำไปใช้โดยผู้ไม่หวังดี เพื่อส่งข้อมูลที่มีความสำคัญจาก keylogger ซึ่งติดตั้งใน keyboard ไว้อย่างลับ ๆ (more…)

iLeakage การโจมตีรูปแบบใหม่ เพื่อขโมยอีเมล และรหัสผ่านจาก Apple Safari

นักวิจัยทดสอบการโจมตีแบบ speculative side-channel รูปแบบใหม่ที่เรียกว่า iLeakage ซึ่งสามารถทำงานบนอุปกรณ์ Apple เวอร์ชันล่าสุดได้ทุกเครื่อง และสามารถดึงข้อมูลที่มีความสำคัญออกจากเบราว์เซอร์ Safari ได้

iLeakage เป็นการสาธิตครั้งแรกของการโจมตีแบบ speculative execution บน Apple Silicon CPU และเบราว์เซอร์ Safari โดยสามารถใช้ดึงข้อมูลจาก Safari ได้ด้วยความแม่นยำสูงมาก รวมไปถึง Firefox, Tor และ Edge บน iOS อีกด้วย

โดยวิธีการหลักคือ timerless Spectre attack ซึ่งจะ bypass การป้องกัน standard side-channel ที่เบราว์เซอร์ทั้งหมดใช้

การขโมยข้อมูลจาก Safari

iLeakage ได้รับการพัฒนาโดยทีมนักวิชาการจาก Georgia Tech, University of Michigan และ Ruhr University Bochum ซึ่งได้ตรวจสอบวิธีการป้องกัน side-channel ของ Safari และสามารถหลีกเลี่ยงมาตรการป้องกันที่มีอยู่ได้โดยใช้เทคนิคแบบ timerless และ architecture-agnostic โดยอาศัย race conditions

นักวิจัยมุ่งเน้นไปที่การอ่านข้อมูลที่มีความสำคัญจาก Safari และสามารถขโมยข้อมูลได้โดยสร้าง primitive ที่สามารถอ่าน และดึงข้อมูลของทุก ๆ 64-bit pointer ในพื้นที่ที่เบราว์เซอร์ของ Apple ใช้สำหรับกระบวนการเรนเดอร์

โดยนักวิจัยทำได้โดยการเอาชนะการป้องกัน side-channel ที่ Apple นำไปใช้ในเบราว์เซอร์ของตน เช่น low-resolution timer, compressed 35-bit addressing และวิธีการ value poisoning

นักวิจัยยังสามารถ bypass site isolation ใน Safari ซึ่งแยกเว็บไซต์ออกเป็นพื้นที่ที่อยู่ที่แตกต่างกันตาม top-level domain (eTLD) พร้อมกับโดเมนย่อยหนึ่งโดเมน

โดยการใช้เทคนิคใหม่ที่ใช้ JavaScript window.

Apple ออกแพตซ์แก้ไขช่องโหว่ Zero-day ใน Kernel ของ iOS บน iPhone และ iPad รุ่นเก่า

Apple เผยแพร่การอัปเดตความปลอดภัยสำหรับ iPhone และ iPad รุ่นเก่า ในช่วงต้นเดือนตุลาคม 2023 ที่ผ่านมา โดยระบุว่าเป็นช่องโหว่ Zero-day 2 รายการ ที่ถูกใช้ในการโจมตี iOS เวอร์ชันก่อน iOS 16.6

CVE-2023-42824 (คะแนน CVSS 7.8/10 ความรุนแรงระดับสูง) เป็นช่องโหว่การยกระดับสิทธิ์ที่เกิดจากช่องโหว่ใน XNU kernel ที่ทำให้สามารถยกระดับสิทธิ์บน iPhone และ iPad ที่มีช่องโหว่ได้
**

(more…)

พบการโจมตีช่องโหว่ zero-click ใน iMessage ของ Apple เพื่อติดตั้งสปายแวร์บน iPhone

Citizen Lab หน่วยงานวิจัยด้านความปลอดภัยรายงานว่า Apple ได้ทำการแก้ไขช่องโหว่ zero-day ด้วยการออกแพตซ์อัปเดตเร่งด่วนเพื่อป้องกันการโจมตีโดยใช้ช่องโหว่ zero-day ของ Pegasus spyware ที่ถูกใช้โดยกลุ่ม NSO เพื่อเข้าถึง iPhone ของเป้าหมาย โดยช่องโหว่ที่ถูกใช้ในการโจมตีครั้งนี้คือ CVE-2023-41064 และ CVE-2023-41061 ซึ่งจะโจมตีไปยัง iPhone ที่ใช้ iOS 16.6 ผ่านไฟล์แนบ PassKit ที่มีภาพที่เป็นอันตราย ที่ส่งจากบัญชี iMessage ของ Hacker ไปยังเหยื่อ โดยที่เหยื่อไม่ต้องตอบสนองใด ๆ (zero-click) ที่มีชื่อว่า “BLASTPASS” ทั้งนี้ทางนักวิจัยด้านความปลอดภัยของ Apple และ Citizen Lab ได้ค้นพบช่องโหว่ zero-day ใน Image I/O และ Wallet framework (more…)

Apple เปิดตัวแอปพลิเคชันปี 2024 เพื่อวิจัยความปลอดภัยสำหรับ iPhones

Apple ประกาศว่านักวิจัยด้านความปลอดภัยของ iOS สามารถสมัครขอรับ Security Research Device (SRD) หรืออุปกรณ์วิจัยความปลอดภัยได้ภายในสิ้นเดือนตุลาคมนี้

SRD คือ iPhone 14 Pro ที่มีคุณสมบัติด้านความปลอดภัยที่ถูกปิดการใช้งาน และการเข้าถึง shell access ซึ่งทำให้การวิจัยช่องโหว่เป็นไปได้บนแพลตฟอร์มที่ถูกล็อคของ Apple (more…)