This POODLE bites: exploiting the SSL 3.0 fallback

กูเกิลประกาศพบบั๊กร้ายแรงในสเปกของโพรโทคอล SSL 3.0 ที่ส่งผลให้การเชื่อมต่อ SSL อาจถูกเจาะและไม่ปลอดภัยอย่างที่แล้วๆ มา โดยกูเกิลให้ชื่อบั๊กนี้ว่า POODLE

Return of the Android SMS virus – self-spreading "Selfmite" worm comes back for more

บริษัทความปลอดภัยหลายแห่งออกมาเตือนว่า พบไวรัสบน Android ที่ติดแล้วจะส่งลิงค์ดาวน์โหลดไวรัสทาง SMS ไปยังเพื่อนๆ ของเรา ไวรัสตัวนี้เคยระบาดเมื่อเดือนมิถุนายนที่ผ่านมา และกลับมาระบาดอีกครั้งช่วงนี้

Google buys sound-based authentication startup SlickLogin

SlickLogin คือ บริษัท Start-up นำเสนอนวัตกรรมใหม่ในการใช้เสียงมาปลดเล็อคแทนรหัสผ่านที่เป็นตัวหนังสือแบบเดิมๆ ล่าสุด Google ได้ซื้อบริษัทนี้มาเป็นที่เรียบร้อยแล้ว ซึ่งการล็อกอินแบบใหม่ที่มีชื่อว่า two-step authentication (การใช้รหัสผ่านสองชั้น๗ หลักการของ SlickLogin ก็จะคล้ายคลึงกัน ต่างกันตรงที่ต้องมีอุปกรณ์ชิ้นที่สองร่วมด้วย ในกรณีนี้ก็คือสมาร์ทโฟน ซึ่ง SlickLogin จะใช้องค์ประกอบของเสียงมาเพิ่มระดับความปลอดภัยในการล็อกอินแต่ละครั้ง

หลักการทำงานก็คือเว็บไซต์ไหนที่สนับสนุน SlickLogin ก็จะส่งเสียงที่หูเราออกมาทางลำโพงของคอมพิวเตอร์ จากนั้นแอพพลิเคชั่นบนสมาร์ทโฟนก็จะทำหน้าที่รับเสียงเหล่านี้และทำการวิเคราะห์ออกมา หลังจากนั้นก็จะส่งข้อความไปยังเซิร์ฟเวอร์เพื่ออนุญาตให้ล็อกอินเข้าไปใช้งานได้

SlickLogin บอกว่าเสียงที่ถูกสร้างขึ้นมานั้นจะมีลักษณะเฉพาะตามผู้ใช้แต่ละคน จึงไม่สามารถแอบบันทึกแล้วมาเล่นภายหลังเพื่อปลดล็อคภายหลังได้ แม้จะเป็นคอมพิวเตอร์เครื่องเดียวกันก็ตาม จึงมั่นใจได้ว่าใช้งานได้อย่างปลอดภัย

ทาง SlickLogin ก็ได้ประกาศถึงเรื่องนี้เอาไว้บนหน้าเว็บไซต์ของตัวเองด้วย ซึ่งทั้งคู่ยังไม่เปิดเผยรายละเอียดเกี่ยวกับโครงการในอนาคตที่จะทำร่วมกัน แค่ก็คาดว่ากูเกิลจะนำระบบนี้มาใช้กับบริการของตัวเองในเร็วๆ นี้

ที่มา : SLASH GEAR

เตือน ระวังมัลแวร์จากเกม Flappy Bird ปลอม!

วีโอ ชาง นักวิเคราะห์ภัยคุกคามมือถือ บริษัท เทรนด์ไมโคร อิงค์ เปิดเผยล่าสุดว่า เกม Flappy Bird มีแอพฯ ที่คล้ายคลึงกันเกิดขึ้นใหม่อย่างมากมาย แต่ดูเหมือนว่าพัฒนาการต่อเนื่องที่เกิดขึ้นนั้นจะมีบางสิ่งที่ผิดปกติ นั่นคือแอพฯ Android Flappy Bird ปลอมจำนวนมาก ซึ่งกำลังแพร่กระจายทางออนไลน์อยู่ในขณะนี้ และกำลังแพร่กระจายอย่างหนักในตลาดแอพของรัสเซียและเวียดนาม

สำหรับแอพฯ เวอร์ชั่นปลอมทั้งหมดที่เทรนด์ไมโครตรวจพบนั้นจะเป็นรูปแบบตัวลวงการให้บริการพรีเมียม (Premium Service Abuser) ซึ่งเป็นแอพฯ ที่จะส่งข้อความไปยังสมาชิกระดับพรีเมียม และทำให้เกิดการเสียค่าบริการที่ไม่ต้องการปรากฏอยู่ในใบแจ้งหนี้ค่าโทรศัพท์ของเหยื่อ เช่น แอพ Flappy Bird ปลอมจะร้องขอสิทธิ์ในการอ่าน หรือส่งข้อความเพิ่มเติมจากผู้ใช้ในระหว่างการติดตั้งแอพฯ ซึ่งแอพฯ ในเวอร์ชั่นดั้งเดิมจะไม่มีขั้นตอนนี้ หลังจากที่เกมได้รับการติดตั้งและถูกเปิดขึ้นมาแล้ว แอพมัลแวร์ดังกล่าวจะเริ่มส่งข้อความไปยังหมายเลขของสมาชิกระดับพรีเมียม และมัลแวร์นี้ก็จะแอบเชื่อมต่อกับเซิร์ฟเวอร์สั่งการและควบคุม (C&C) ผ่านทาง Google Cloud Messaging เพื่อรับคำสั่งต่างๆ ซึ่งเทรนด์ไมโคร พบว่ามัลแวร์ดังกล่าวจะถูกสั่งให้ส่งข้อความและซ่อนการแจ้งเตือนเมื่อได้รับข้อความที่มีเนื้อหาบางอย่างซ่อนอยู่

นอกจากลักษณะการลวงให้บริการระดับพรีเมียมแล้ว แอพฯ ปลอมเหล่านี้ยังอาจทำให้ข้อมูลของผู้ใช้เกิดการรั่วไหลได้ด้วยการแอบส่งหมายเลขโทรศัพท์, ข้อมูลของผู้ให้บริการโทรศัพท์ หรือที่อยู่ Gmail ที่มีการลงทะเบียนในอุปกรณ์ที่ติดตั้งแอพปลอมไว้
นอกจากนี้ เทรนด์ไมโครยังตรวจพบด้วยว่า เวอร์ชั่นปลอมเหล่านี้จะแสดงป็อปอัปเพื่อขอให้ผู้ใช้ชำระเงินค่าเกม ถ้าผู้ใช้ปฏิเสธที่จะเล่น แอพก็จะปิดลง สำหรับแอป Flappy Bird ปลอมที่ได้รับการตรวจพบแล้วในขณะนี้ ได้แก่ ANDROIDOS_AGENT.HBTF, ANDROIDOS_OPFAKE.HATC และ ANDROIDOS_SMSREG.HAT

ดังนั้นเทรนด์ไมโครขอแนะนำให้ผู้ใช้แอนดรอยด์ (โดยเฉพาะอย่างยิ่งผู้ที่ต้องการดาวน์โหลดแอพ Flappy Bird ที่ตอนนี้ไม่มีให้บริการแล้ว) ระมัดระวังเมื่อทำการติดตั้งแอพ เนื่องจากบรรดาอาชญากรไซเบอร์กำลังหันมาหาประโยชน์จากเกมยอดนิยมต่างๆ (เช่น Candy Crush, Angry Birds Space, Temple Run 2 และ Bad Piggies) โดยหวังจะปล่อยภัยคุกคามเข้าแทรกซึมไปยังระบบมือถือ

ที่มา : Thaiware

Google adds its Chrome apps and extensions to Bug Bounty Program

ในปี 2010 Google ได้เริ่มโครงการแจกรางวัลให้ผู้ค้นพบบั้คทางด้านความปลอดภัย (bug bounty program) ใน Chrome และได้ขยายการแจกเงินรางวัลมายัง Chrome OS ในปี 2012 และล่าสุด Google ได้ประกาศขยายโครงการอีกรอบ โดยรอบนี้จะรวมถึงส่วนเสริม (extension) และแอพ (Chrome apps) รายการส่วนเสริมจาก Chrome Web Store ที่สร้างโดย Google เอง โดย Google กล่าวว่าส่วนเสริมหลายตัวอย่าง Hangouts หรือ Gmail Checker ที่มีผู้ใช้งานเป็นหลักล้านคน ถ้ามีบั้คความปลอดภัย อาจจะมีโอกาสสูงที่จะส่งผลกระทบต่อผู้ใช้จำนวนมาก ดังนั้น Google จึงตัดสินใจขยายโครงการ bug bounty ให้ครอบคลุมในส่วนนี้ โดย Google กำหนดอัตราการจ่ายเงินรางวัลอยู่ที่ 500 - 10,000 ดอลลาร์ โดยเงินรางวัลขึ้นอยู่กับความยาก-ง่ายของบั้คที่เจอและผลกระทบที่เกิดจากบัคนั้นๆ ถ้าหากผู้ใดพบปัญหาด้านความปลอดภัย สามารถแจ้งได้ที่ (https://www.

Hacking Gmail accounts with password reset system vulnerability

Oren Hafif นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ในขั้นตอนการรีเซ็ต password ของบัญชี Google ที่ช่วยให้ผู้โจมตีสามารถ Hijack ไปยังบัญชีของผู้ใช้อื่น ๆ ได้

วิธีการคือ ผู้โจมตีจะส่งอีเมล “Confirm account ownership” ที่อ้างว่ามาจาก Google ไปยังเหยื่อ ซึ่งในอีเมลจะมีลิงค์ไปยังเว็บเพจเพื่อใช้ในการยืนยันตัวตนและข้อความเตือนให้เหยื่อทำการเปลี่ยนรหัสผ่าน เมื่อเหยื่อทำการคลิกลิงค์สามารถสังเกตุได้ว่า URL ที่ปรากฏจะเป็น HTTPS Google.

Hacking Gmail accounts with password reset system vulnerability

Oren Hafif นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ในขั้นตอนการรีเซ็ต password ของบัญชี Google ที่ช่วยให้ผู้โจมตีสามารถ Hijack ไปยังบัญชีของผู้ใช้อื่น ๆ ได้

วิธีการคือ ผู้โจมตีจะส่งอีเมล “Confirm account ownership” ที่อ้างว่ามาจาก Google ไปยังเหยื่อ ซึ่งในอีเมลจะมีลิงค์ไปยังเว็บเพจเพื่อใช้ในการยืนยันตัวตนและข้อความเตือนให้เหยื่อทำการเปลี่ยนรหัสผ่าน เมื่อเหยื่อทำการคลิกลิงค์สามารถสังเกตุได้ว่า URL ที่ปรากฏจะเป็น HTTPS Google.

Google adds automatic blocking of malware downloads to latest Chrome build

กูเกิลได้ออกมาประกาศว่า Chrome Canary เวอร์ชั่นล่าสุด เตรียมใส่ฟีเจอร์บล็อกการดาวน์โหลดอัตโนมัติ ถ้าตรวจสอบแล้วพบว่าเป็นมัลแวร์ โดยไม่จำเป็นต้องดาวน์โหลดไฟล์นั้นให้เสร็จก่อน

ในอนาคต Chrome ทุกเวอร์ชั่นจะทำการบล็อคไฟล์ต้องสงสัยให้อัตโนมัติ พร้อมขึ้นข้อความแจ้งเตือนให้คุณรู้ที่ด้านล่างของหน้าจอ คุณสามารถมองข้ามข้อความนี้ได้ แต่ยังไม่มีข้อมูลว่าคุณจะเลือกหยุดหรือพร้อมรับความเสี่ยงด้วยการดาวน์โหลดต่อไปได้

กูเกิลอธิบายถึงต้นเหตุในการใส่ฟีเจอร์นี้มาให้ นั่นเป็นเพราะอาชญากรรไซเบอร์มักจะใช้กลอุบายนี้ในการใส่มัลแวร์แฝงตัวมากับโปรแกรมต่างๆ ทั้งโปรแกรมแจกฟรี, ปลั๊กอิน, สกรีนเซฟเวอร์ปลอม, โปรแกรมเถื่อนที่ผ่านการแครกมาแล้วหรือแม้แต่ผ่านทางการอัพเดทความปลอดภัย ซึ่ง Chrome เองก็ตกเป็นเป้าหมายเพราะเป็นบราวเซอร์ยอดนิยมที่มีจำนวนผู้ใช้เพิ่มขึ้นอย่างต่อเนื่อง

กูเกิลเองก็ให้ความสำคัญกับฟีเจอร์ด้านความปลอดภัยอื่นๆ เช่น Safe Browsing service ที่ช่วยปกป้องผู้ใช้ Chrome, Firefox และ Safari จากเว็บที่มีมัลแวร์และการ phishing (กูเกิลมีการปักธงเว็บประเภทนี้ถึงวันละ 10,000 เว็บทีเดียว) ส่วนใน Chrome 29 ก็ยังมีการเพิ่มปุ่ม “reset browser settings” ในหน้า Advanced Settings เพื่อให้ผู้ใช้สามารถทำ factory-reset ให้กับ Chrome เรียกว่าถ้าหากคุณเผลอติดตั้งปลั๊กอินที่มีมัลแวร์เข้าไป กดปุ่มนี้มันจะทำการรีเซ็ทให้หายหมด

ที่มา : thenextweb

Google adds automatic blocking of malware downloads to latest Chrome build

กูเกิลได้ออกมาประกาศว่า Chrome Canary เวอร์ชั่นล่าสุด เตรียมใส่ฟีเจอร์บล็อกการดาวน์โหลดอัตโนมัติ ถ้าตรวจสอบแล้วพบว่าเป็นมัลแวร์ โดยไม่จำเป็นต้องดาวน์โหลดไฟล์นั้นให้เสร็จก่อน

ในอนาคต Chrome ทุกเวอร์ชั่นจะทำการบล็อคไฟล์ต้องสงสัยให้อัตโนมัติ พร้อมขึ้นข้อความแจ้งเตือนให้คุณรู้ที่ด้านล่างของหน้าจอ คุณสามารถมองข้ามข้อความนี้ได้ แต่ยังไม่มีข้อมูลว่าคุณจะเลือกหยุดหรือพร้อมรับความเสี่ยงด้วยการดาวน์โหลดต่อไปได้

กูเกิลอธิบายถึงต้นเหตุในการใส่ฟีเจอร์นี้มาให้ นั่นเป็นเพราะอาชญากรรไซเบอร์มักจะใช้กลอุบายนี้ในการใส่มัลแวร์แฝงตัวมากับโปรแกรมต่างๆ ทั้งโปรแกรมแจกฟรี, ปลั๊กอิน, สกรีนเซฟเวอร์ปลอม, โปรแกรมเถื่อนที่ผ่านการแครกมาแล้วหรือแม้แต่ผ่านทางการอัพเดทความปลอดภัย ซึ่ง Chrome เองก็ตกเป็นเป้าหมายเพราะเป็นบราวเซอร์ยอดนิยมที่มีจำนวนผู้ใช้เพิ่มขึ้นอย่างต่อเนื่อง

กูเกิลเองก็ให้ความสำคัญกับฟีเจอร์ด้านความปลอดภัยอื่นๆ เช่น Safe Browsing service ที่ช่วยปกป้องผู้ใช้ Chrome, Firefox และ Safari จากเว็บที่มีมัลแวร์และการ phishing (กูเกิลมีการปักธงเว็บประเภทนี้ถึงวันละ 10,000 เว็บทีเดียว) ส่วนใน Chrome 29 ก็ยังมีการเพิ่มปุ่ม “reset browser settings” ในหน้า Advanced Settings เพื่อให้ผู้ใช้สามารถทำ factory-reset ให้กับ Chrome เรียกว่าถ้าหากคุณเผลอติดตั้งปลั๊กอินที่มีมัลแวร์เข้าไป กดปุ่มนี้มันจะทำการรีเซ็ทให้หายหมด

ที่มา : thenextweb

Google launches new anti-DDoS service called 'Project Shield'

Google ได้ออกมานำเสนอเครื่องมือใหม่และไม่ได้แสวงหาผลกำไรจากเครื่องมือนี้ โดยเครื่องมือนี้ได้มุ่งเน้นไปที่ การถูกโจมตีด้วย  DDoS attacks ซึ่งการโจมตีแบบนี้อาจจะทำให้เว็บไซต์ล่มได้ โดยที่ DDos เป็นปัญหาที่เกิดขึ้นมานานแล้วและทาง Google ได้ออกเครื่องมือ ชื่อว่า Project Shield เข้ามาแก้ไขปัญหาดังกล่าว โดยบริการนี้ทาง Google จะให้บริการฟรี เครื่องมือจะถูกติดตั้งอยู่บนบริการ PageSpeed ซึ่งได้พัฒนาให้มีการโหลดข้อมูลให้รวดเร็วขึ้นและ Project Shield ก็จะทำงานอยู่ภายใต้ PageSpeed และทาง Google ได้ทำแผนที่แบบ visualizes เพื่อใช้แสดงการถูกโจมตี

ที่มา : The verge