Google ลบ Chrome Extensions ที่ซ่อนโค้ดไว้เพื่อขโมย Cryptocurrency Wallets ออกจากเว็บสโตร์ 49 รายการ

Google ได้ทำการลบ Chrome Extensions จำนวน 49 รายการออกจากเว็บสโตร์ออฟฟิเชียล หลังพบว่า Extensions ดังกล่าวแฝงมัลแวร์ไว้เพื่อขโมยข้อมูล Cryptocurrency Wallets

Chrome Extensions เหล่านี้ถูกค้นพบโดยนักวิจัยจาก PhishFort และ MyCrypto โดย Extensions เหล่านี้ถูกปลอมเเปลงและแฝงมัลแวร์เพื่อใช้ในการขโมยข้อมูลที่เกี่ยวข้องกับ Mnemonic Phrases, Private Keys และ Keystore files ของ Cryptocurrency Wallets จะส่งข้อมูลที่ถูกขโมยไปยังผู้โจมตีผ่านคำขอ HTTP POST นอกจากนี้มัลแวร์ยังใช้เซิร์ฟเวอร์ C2 ที่ไม่ซ้ำกัน 14 แห่ง

ทั้งนี้พบว่าเป็น Extensions ดังกล่าวนั้นเกี่ยวข้องกับ Cryptocurrency ของแบรนด์ดังหลายเจ้าเช่น Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus, และ KeepKey

เมื่อได้รับรายงานนักวิจัยจาก Google ได้ทำการลบ Extensions ดังกล่าวภายใน 24 ชั่วโมง และในเดือนกุมภาพันธ์ Google ได้ทำการลบ Chrome Extensions ที่เป็นอันตรายมากกว่า 500 รายการออกจากเว็บสโตร์หลังจากพบว่ามีการแฝงโค้ดที่เป็นอันตรายเพื่อใช้ขโมยข้อมูลของผู้ใช้งาน

ที่มา: hackread

เบราว์เซอร์จะเริ่มต้นบล็อกการเข้าถึงเว็บไซต์ HTTPS ที่ใช้ TLS 1.0 และ 1.1 ในเดือนนี้

เว็บเบราว์เซอร์ อาทิ Firefox และ Google Chrome จะเริ่มแสดงข้อความแจ้งเตือนหากผู้ใช้งานมีการพยายามเข้าถึงเว็บไซต์ผ่านโปรโตคอล HTTPS เวอร์ชั่นเก่าในเดือนนี้ สืบเนื่องมาจากความพยายามในการผลักดันให้เว็บไซต์พยายามใช้โปรโตคอลใหม่ ที่มีความปลอดภัยสูงกว่า

บริษัท Netcraft เปิดเผยว่าเว็บไซต์กว่า 850,000 แห่งยังคงใช้โปรโตคอล TLS 1.0 และ 1.1 ซึ่งมีกำหนดการลบออกจากเบราว์เซอร์หลักส่วนใหญ่ในปลายเดือนนี้ TLS 1.0 และ 1.1 ต่างเป็นที่รู้จักกันในเรื่องของช่องโหว่และปํญหาในการโจมตี ซึ่งอาจนำไปสู่การดักอ่านข้อมูลเข้ารหัสได้

ด้วยเหตุนี้เองเจ้าตลาดยักษ์ใหญ่อย่าง Microsoft, Google, Apple และ Firefox จึงเป็นแกนนำผลักดันการยกเลิกใช้โปรโตคอลดังกล่าวมาระยะหนึ่งแล้ว โดยเริ่มต้นจากการแสดง Not Secure มาตั้งแต่ปีที่แล้วหลัง TLS 1.3 ออกมาในปี 2018 และในปลายเดือนนี้เบราว์เซอร์ส่วนใหญ่จะแสดงคำเตือนที่ซ่อนอยู่ เพื่อแสดงข้อผิดพลาดเมื่อผู้ใช้เข้าถึงเว็บไซต์ที่ใช้ TLS 1.0 หรือ TLS 1.1 ทันที

ที่มา : zdnet

Browsers จะทำการบล็อคการเข้าถึงเว็บไซต์ HTTPS ที่ใช้ TLS 1.0 และ 1.1 เริ่มต้นในเดือนนี้
มากกว่า 850,000 เว็บไซต์ยังคงใช้โปรโตคอล TLS 1.0 และ 1.1 ที่ล้าสมัยจะไม่สามารถเข้าถึงได้จาก Browsers หลักส่วนใหญ่ในปลายเดือนนี้ Netcraft ระบุ
เว็บไซต์กว่า 850,000 นั้นใช้ HTTPS แต่ในเวอร์ชันที่ไม่ปลอดภัย เว็บไซต์เหล่านั้นใช้ HTTPS ผ่าน certificates การเข้ารหัสที่สร้างขึ้นบนโปรโตคอล TLS 1.0 และ TLS 1.1 ซึ่งเป็นโปรโตคอลที่เก่าเเก่ เปิดตัวในปี 1996 และ 2006 ตามลำดับ โปรโตคอลเหล่านี้ใช้อัลกอริธึมการเข้ารหัสที่ไม่ปลอดภัย และมีความเสี่ยงต่อการโจมตีเพื่อถอดรหัสต่างๆ เช่น BEAST, LUCKY 13, SWEET 32, CRIME และ POODLE การโจมตีเหล่านี้ช่วยให้ผู้โจมตีสามารถถอดรหัส HTTPS และเข้าถึง plaintext บน web traffic ของผู้ใช้ เวอร์ชันใหม่ของโปรโตคอลเหล่านี้เปิดตัวในปี 2008 (TLS 1.2) และ 2017 (TLS 1.3) ซึ่งทั้งสองอย่างนี้ ถือว่าดีกว่าและปลอดภัยกว่าการใช้งาน TLS 1.0 และ TLS 1.1
การถอดถอนการใช้งาน TLS 1.0 และ TLS 1.1 ถูกประกาศตั้งแต่เมื่อสองปีที่แล้ว หลังจากการเปิดตัว TLS 1.3 ในฤดูใบไม้ผลิปี 2018 ผู้ผลิตเบราว์เซอร์สี่ราย ได้แก่ Apple, Google, Mozilla และ Microsoft และประกาศร่วมกันในเดือนตุลาคม 2018 ว่ามีแผนที่จะยกเลิกการสนับสนุน TLS 1.0 และ TLS 1.1 ในต้นปี 2020 ขั้นตอนแรกของการถอดถอนการใช้งานนี้เริ่มขึ้นเมื่อปีที่แล้ว เมื่อเบราว์เซอร์เริ่มติดฉลากไซต์ที่ใช้ TLS 1.0 และ TLS 1.1 ด้วยตัวบ่งชี้ "Not Secure" ในแถบที่อยู่ URL และไอคอนแม่กุญแจ เป็นการบอกใบ้แก่ผู้ใช้ว่าการเชื่อมต่อ HTTPS นั้นไม่ปลอดภัยอย่างที่คิด ปลายเดือนนี้เบราว์เซอร์จะเปลี่ยนจากการแสดงคำเตือนที่ซ่อนอยู่ เป็นแสดง errors เต็มหน้าจอเมื่อผู้ใช้เข้าถึงเว็บไซต์ที่ใช้ TLS 1.0 หรือ TLS 1.1 การแสดง errors เต็มหน้าจอเหล่านี้ มีกำหนดการที่จะเปิดตัวในการเปิดตัว Chrome 81 และ Firefox 74 ซึ่งมีกำหนดเวลาปลายเดือนมีนาคม 2020 นี้ Safari ก็มีกำหนดถอดถอนการใช้งาน TLS 1.0 และ 1.1 ในเดือนนี้เช่นกัน Microsoft จะดำเนินการตามความเหมาะสมในช่วงปลายเดือนเมษายนด้วยการเปิดตัว (the Chromium-based) Edge 82

ที่มา : zdnet

 

Google ออกแพตซ์แก้ไขข้อบกพร่องที่สำคัญบน Android

สัปดาห์ที่ผ่านมา Google ได้เปิดตัวชุดรักษาความปลอดภัยสำหรับ Android ประจำเดือนพฤศจิกายน เพื่อแก้ไขช่องโหว่ที่มีผลกระทบต่อแพลตฟอร์มเกือบ 40 ประกอบด้วยข้อบกพร่องทั้งหมด 17 รายการใน Framework, Library, Framework , Media framework และ System (2019-11-01) ช่องโหว่ที่รุนแรงที่สุดอยู่ในระดับ System ส่งผลให้ผู้โจมตีสามารถสั่งรันคำสั่งที่เป็นอันตรายจากระยะไกลตามสิทธิ์ของโปรเซสที่ใช้รัน ประกอบด้วยช่องโหว่ใน Android 9 (CVE-2019-2204), Android 8.0, 8.1, 9 และ 10 (CVE-2019-2205 และ CVE-2019-2206)

ช่องโหว่อื่นๆ อีกประมาณ 21 รายการ (2019-11-05) ประกอบด้วยช่องโหว่ที่น่าสนใจ คือ ช่องโหว่ความรุนแรงสูงในระดับ Framework 2 รายการ, ช่องโหว่ความรุนแรงสูงในระดับ System 1 รายการ และช่องโหว่ความรุนแรงสูง 3 รายการและความรุนแรงปานกลางอีก 1 รายการในระดับ Kernel โดยได้แก้ไขช่องโหว่ที่พบในส่วนของ Qualcomm ที่พบมาก่อนหน้านี้ด้วย โดยช่องโหว่บน Pixel เองก็จะได้รับการแก้ไขในรอบนี้ด้วย

ที่มา: securityweek

แฮกเกอร์ปล่อยข้อมูลผู้ใช้งาน Lumin PDF บนเว็บไซต์ใต้ดินกว่า 24.3 ล้านคน ผู้ใช้งานควรถอนสิทธิ์ออกจาก Google Drive ก่อนถูกแฮก

ZDNet ได้รับแจ้งจากแหล่งข่าวว่ามีแฮกเกอร์ปล่อยข้อมูลผู้ใช้งาน Lumin PDF บนเว็บไซต์ใต้ดินกว่า 24.3 ล้านคน โดยแฮกเกอร์กล่าวว่าตัดสินใจปล่อยข้อมูลผู้ใช้งานเนื่องจากพยายามติดต่อไปยังผู้ดูแล Lumin PDF หลายครั้งแต่ไม่ได้รับการตอบรับ

โดยเแฮกเกอร์พบฐานข้อมูล MongoDB ของ Lumin PDF ที่ไม่มีการตั้งรหัสผ่านตั้งแต่ช่วงเดือนเมษายน 2019 เขาอ้างว่าพยายามติดต่อ Lumin PDF หลายครั้งแต่ไม่ได้รับการตอบรับ และในเวลาถัดมาเขาพบว่าฐานข้อมูลถูกเข้ารหัสโดยมัลแวร์เรียกค่าไถ่

Lumin PDF เป็นบริการที่ให้ผู้ใช้งานดู แก้ไข และแชร์ PDF ผ่านหน้าเว็บ, browser extension, mobile apps และเป็นหนึ่งในแอปที่ให้บริการใน Google Drive

ข้อมูลที่แฮกเกอร์ปล่อยออกมาประกอบไปด้วย ชื่อนามสกุลของผู้ใช้งาน อีเมล เพศ ภาษาในการตั้งค่านอกจากนั้นสำหรับผู้ใช้งานที่สมัครผ่านเว็บไซต์ Lumin PDF ข้อมูลที่ถูกปล่อยคือรหัสผ่านที่แฮชด้วย Bcrypt แต่สำหรับผู้ที่ใช้งานผ่าน Google Drive ข้อมูลที่ถูกปล่อยคือ Google access token

ซึ่งผู้ไม่หวังดีสามารถใช้ Google access token ปลอมเป็นผู้ใช้งานตาม Google access token นั้นๆ และเข้าถึง Google Drive ได้

เพื่อป้องกันตัวจากความเสี่ยงที่จะถูกใช้ Google access token ที่อาจจะรั่วไหล แนะนำให้ผู้ใช้งานทำการถอด Lumin PDF ไม่ให้เข้าถึง Google Drive ได้ตามขั้นตอนต่อไปนี้

เข้า drive.

Google ได้ทำการแก้ไข 2 ช่องโหว่สำคัญ (critical) ที่เกี่ยวกับ remote code execution และช่องโหว่ระดับความรุนแรงสูง (high) 9 ช่องโหว่ ที่เกี่ยวกับการยกระดับสิทธิ์ และช่องโหว่การเปิดเผยข้อมูล ของ Android Open Source Project (AOSP) ซึ่งเป็นแหล่งรวบรวมข้อมูล และ Source Code สำหรับให้นักพัฒนา Android นำไปใช้งาน เมื่อช่วงต้นเดือนที่ผ่านมา

CVE-2019-2027 และ CVE-2019-2028 เป็นช่องโหว่ที่สำคัญที่ส่งผลกระทบต่อ Media framework ซึ่งอาจทำให้ผู้โจมตีสามารถสั่งรันโค้ดอันตรายบนระบบได้ ส่งผลกระทบต่อ Android 7.0 หรือใหม่กว่าทั้งหมด ช่องโหว่อีก 9 ช่องโหว่เป็นการยกระดับสิทธิ์เพื่อเปิดเผยข้อมูล (CVE-2019-2026) ส่งผลกระทบต่ออุปกรณ์ Android 8.0 หรือใหม่กว่า ผู้ใช้งานควรทำการอัพเดตแพทซ์ล่าสุดเพื่อลดความเสี่ยง

ที่มา: bleepingcomputer.

นักวิจัยได้มีการเปิดเผยข้อมูลเกี่ยวกับ Phishing Campaign ล่าสุดที่พุ่งเป้าไปยังผู้ใช้งาน Online banking มีการพยายามปลอมเป็น Google เพื่อขโมยข้อมูลสำคัญ

จากรายงานของนักวิจัยจาก Sucuri ระบุว่าผู้โจมตีมีเป้าหมายเป็นผู้ใช้งานและธนาคารในโปแลนด์ โดยอาศัยการแอบอ้างว่าเป็นระบบ Google reCAPTCHA
อีเมลดังกล่าวจะมีเนื้อหาที่แจ้งว่าพบการทำรายการ (transaction) ที่ผิดปกติ หากพบว่าเป็นรายการที่ไม่ถูกต้องให้กดปุ่ม "verify" เพื่อยืนยันความผิดปกติที่เกิดขึ้น แทนที่จะใช้เป็นการเปลี่ยนเส้นทาง (redirect) ไปยังหน้าปลอมของธนาคารเหมือนการหลอกลวงอื่นๆ แต่กลับเป็นการเปิด PHP ที่จะแสดงหน้า error 404 ปลอมขึ้นมาแทน หน้าดังกล่าวจะมีสคริปต์สำหรับตรวจสอบว่าเป็นการเรียกจาก Google crawler หรือไม่ หากพบว่าไม่ใช่ก็จะแสดงหน้า Google reCAPTCHA ที่ถูกเขียนด้วย JavaScript และ HTML ขึ้นมา หากเหยื่อหลงเชื่อกด CAPTCHA สคริปต์จะทำการตรวจสอบว่าเรียกมาจากอุปกรณ์ใด หากเป็น Android จะมีการดาวน์โหลดไฟล์ .apk หากไม่ใช่จะทำการดาวน์โหลด .zip แทน แต่จากตัวอย่างที่พบส่วนมากจะเป็นมัลแวร์บน Android โดยตัวมัลแวร์จะทำการเก็บข้อมูลสถานะของอุปกรณ์มือถือ, ตำแหน่งที่ใช้งาน และรายชื่อผู้ติดต่อ, มีการตรวจสอบรายการข้อความบนเครื่อง และทำการส่งข้อความ หรือโทรศัพท์ออกไปผ่านเครื่องของเหยื่อ, มีการบันทึกเสียงผู้ใช้งาน รวมถึงขโมยข้อมูลสำคัญอื่นๆ ออกไป

มัลแวร์ดังกล่าวถูกตรวจจับได้แล้วด้วย anti-virus หลายๆ ตัว ที่มีการให้ signature แตกต่างกันออกไป ยกตัวอย่างเช่น Banker, BankBot, Evo-gen, Artemis และอื่นๆ การหลีกเลี่ยงที่จะตกเป็นเหยื่อ ผู้ใช้งานควรจะมีการสังเกตและตรวจสอบความถูกต้องของอีเมลที่ได้รับมาทั้งชื่อผู้ส่ง (sender), เนื้อหา (content) และลิงก์ที่ถูกระบุมาในอีเมลว่าถูกต้องจริงๆ หรือไม่ก่อนทำการเปิดไฟล์แนบ หรือกดลิงก์ใดๆ

ที่มา: www.

พบมัลแวร์ใหม่ที่ปลอมตัวเป็นโปรแกรม Google Update เพื่อขโมยข้อมูล และติดตั้งมัลแวร์เพิ่มเติม

นักวิจัยด้านความปลอดภัยจาก Minerva Labs ตรวจพบมีการขโมยข้อมูลโดยใช้โทรจัน AZORult ซึ่งโทรจันดังกล่าวจะทำการปลอมตัวเป็นโปรแกรม Google Update เมื่อติดตั้งบนเครื่องเหยื่อแล้ว มัลแวร์จะแทนที่การทำงานของ Google Update ตัวจริง

โปรแกรมดังกล่าวถูกพัฒนาให้มีรูปแบบที่เหมือนกับโปรแกรมที่ถูกต้องของ Google เช่นมีการใช้ไอคอนของ Google และมีการรับรอง (signed) ด้วยใบรับรอง (certificate) ที่ยังไม่หมดอายุ แต่จากการตรวจสอบเพิ่มเติมอย่างละเอียดพบว่า ใบรับรอง (certificate) ดังกล่าวออกให้กับ "Singh Agile Content Design Limited" แทนที่จะเป็นการออกให้กับ "Google" โดยออกเมื่อวันที่ 19 พฤศจิกายน

หลังจากการวิเคราะห์อย่างละเอียดพบว่ามัลแวร์ AZORult มีรูปแบบการทำงาน ดังต่อไปนี้

- ส่งคำขอ HTTP POST ไปที่ /index.

ระหว่างปี 2015 และมีนาคม 2018 พบช่องโหว่ใน Google Plus เครือข่ายสังคมออนไลน์ของ Google ที่ส่งผลให้ข้อมูลส่วนตัว อาทิเช่น ชื่อผู้ใช้ ที่อยู่อีเมล วันเดือนปีเกิด เพศ รูปถ่าย ที่อยู่อาศัย สถานภาพความสัมพันธ์และอาชีพ ถูกเปิดเผยไปยังนักพัฒนาซอฟต์แวร์จากความผิดพลาดของ API

รายงานระบุว่าในเดือนมีนาคม 2018 Google เลือกที่จะไม่เปิดเผยต่อสาธารณชนว่า บริษัทไม่สามารถปกป้องข้อมูลส่วนบุคคลของผู้ใช้เป็นเวลาหลายปี เนื่องจากในช่วงเวลาดังกล่าว Facebook ที่เป็นคู่แข่งอยู่กำลังมีข่าวเกี่ยวกับการนำข้อมูลไปใช้โดยไม่ได้รับอนุญาตของ Cambridge Analytica อย่างไรก็ตามในที่สุดเมื่อเดือนตุลาคมที่ผ่านมา Google ก็ออกมายอมรับถึงปัญหาดังกล่าว พร้อมทั้งระบุว่ามีผู้ใช้งานประมาณ 5 แสนบัญชีที่ได้รับผลกระทบ และมีแอพพลิเคชั่น 438 รายการเข้าถึงข้อมูลดังกล่าวโดยไม่ได้รับอนุญาต โดย Google ได้ออกมาประกาศว่าจะทำการปิดตัว Google Plus ปลายเดือนสิงหาคม 2019

แค่นั้นยังไม่พอ ล่าสุด Google ออกมายอมรับว่าในขณะนี้ Google Plus ได้มีปัญหาด้านความปลอดภัยอื่นๆ ส่งผลให้ข้อมูลของผู้ใช้งาน 52 ล้านบัญชี สามารถถูกเข้าถึงโดยแอพพลิเคชั่นและนักพัฒนาซอฟต์แวร์ของบริษัทอื่นโดยไม่ได้รับอนุญาต

ดังนั้นถ้าหากคุณเป็นหนึ่งในผู้ใช้งานที่มีบัญชีของ Google Plus ข้อมูลของคุณ เช่น ชื่อ อีเมล อาชีพหรืออื่นๆ ซึ่งแม้จะตั้งไว้เป็น "not public" ข้อมูลเหล่านั้นก็จะสามารถเข้าถึงได้โดยบุคคลที่ไม่ได้รับอนุญาต และล่าสุด Google ได้ออกมาประกาศอีกครั้งว่าจะปิดตัว Google Plus แต่จะปิดในเดือนเมษายน 2019 แทนที่จะเป็นเดือนสิงหาคม 2019 ซึ่งเร็วกว่าประกาศเดิม 5 เดือน

ที่มา : GRAHAM CLULEY

พบปัญหาใน Gmail ที่ส่งผลต่อผู้ใช้งานผ่านเว็บ ทำให้สามารถปกปิดอีเมลของผู้ส่งได้ ซึ่งอาจถูกใช้เป็นเครื่องมือจากผู้ไม่หวังดี

การปลอมแปลงข้อมูลในส่วนของ From ด้วยการแทรก Tag object, script หรือ img เข้าไปแทน ทำให้ข้อมูลอีเมลของผู้ส่งกลายเป็นค่าว่าง ส่งผลให้ผู้ใช้งานที่ได้รับอีเมลไม่สามารถระบุคนส่งได้ และสามารถถูกใช้โดยผู้ไม่หวังดีในการส่งอีเมลฟิชชิ่งได้

Tim Cotten เป็นผู้ค้นพบว่าปัญหาดังกล่าว จากการทดสอบโดยใช้เป็นวิธีการ reply email ก็ไม่สามารถช่วยให้เห็นข้อมูลของผู้ที่ส่งมาได้ รวมถึงการเปิดดูจากเมนู Show Original ก็ไม่สามารถแสดงอีเมลของผู้ส่งได้เช่นเดียวกัน แต่อย่างไรก็ตามจากการทดสอบโดยดูจาก raw data พบว่ามีข้อมูลอีเมลของผู้ส่งฝังอยู่ด้านหลัง Tag img

Tim Cotten ได้ทำการแจ้งเตือนข้อผิดพลาดดังกล่าวไปยัง Google เป็นที่เรียบร้อยแต่ยังไม่ได้รับการตอบกลับจาก Google

ที่มา :bleepingcomputer.