Siri Shortcuts ซึ่งเป็นคุณสมบัติใหม่ที่ Apple เพิ่มใน iOS 12 อาจทำให้ผู้ใช้เสี่ยงต่อภัยคุกคาม เช่น การหลอกให้เชื่อเพื่อเรียกค่าไถ่ (ransom) การแพร่กระจายมัลแวร์ หรือการโจรกรรมข้อมูลสำคัญ (exfiltration) เป็นต้น

John Kuhn นักวิจัยภัยคุกคามจาก IBM X-Force เชื่อว่าการใช้ Siri Shortcuts อาจทำให้ผู้ไม่หวังดีนำไปใช้ประโยชน์โดยการสร้างเครื่องมือที่เอาไว้ข่มขู่เพื่อเรียกค่าไถ่บนเครื่องของเหยื่อ โดยการทำให้เหยื่อเชื่อว่าข้อมูลในเครื่องของพวกเขาอยู่ในมือของผู้ไม่หวังดีแล้ว นอกจากนี้ผู้ไม่หวังดีอาจจะใช้สคริปต์เพื่อรวบรวมข้อมูลจากโทรศัพท์เหยื่อก่อน และนำไปข่มขู่เพื่อให้ดูน่าเชื่อถือยิ่งขึ้นโดย และจากตัวอย่างการทดสอบสคริปต์อันตรายดังกล่าวนี้สามารถเปิดหน้าเว็บที่แสดงหน้าข้อความเพื่อข่มขู่เรียกค่าไถ่และแสดงข้อมูลตัวอย่างข้อมูลจากเครื่องโทรศัพท์ของเหยื่ออีกด้วย หรืออาจทำให้เครื่องของเหยื่อส่งข้อความที่มีการระบุลิงค์อันตรายไปตามรายชื่อผู้ติดต่อทั้งหมดโดยอัตโนมัติ

John Kuhn และทีม IBM X-Force แนะนำว่าผู้ใช้ควรติดตั้ง Siri Shortcut จากแหล่งที่เชื่อถือได้เท่านั้นและควรตรวจสอบสิทธิ์ที่แอพพลิเคชั่นขอใช้ในการเข้าถึงข้อมูล หรือแอพพลิเคชั่นอื่นๆ บนเครื่องอย่างละเอียดก่อนตัดสินใจติดตั้ง

ที่มา: zdnet.

Source Code ของ Snapchat Social Media ที่ได้รับความนิยม ถูกแฮกเกอร์นำมาโพสไว้บน GitHub

GitHub Account ที่ชื่อว่า Khaled Alshehri (i5xx) ซึ่งอ้างว่ามาจากปากีสถาน ได้สร้างพื้นที่เก็บข้อมูล GitHub ที่เรียกว่า Source-Snapchat พร้อมคำอธิบายว่า "Source Code for SnapChat" และเผยแพร่โค้ดที่อ้างว่าเป็นแอพพลิเคชั่น Snapchat บน iOS

บริษัท Snap ได้ติดต่อไปยัง GitHub เพื่อใช้สิทธิ์ดำเนินการตามลิขสิทธิ์ Digital Millennium Copyright Act (DMCA) ในการลบที่เก็บข้อมูล Source Code ของ Snapchat

Snap ยืนยันว่าโค้ดได้ถูกลบออกไปแล้วและไม่กระทบกับแอพพลิเคชั่น แต่พบผู้ใช้ Twitter 2 ราย (คนหนึ่งอยู่ในปากีสถานและอีกคนหนึ่งอยู่ในประเทศฝรั่งเศส) ซึ่งเชื่อว่าเป็นผู้สร้าง i5xx GitHub Account ระบุว่าได้มีการแจ้งไปยัง Snapchat เกี่ยวกับ Source Code และ Bug โดยคาดว่าจะได้รับรางวัลจาก Snap แต่กลับไม่ได้รับการตอบสนองใดๆ จึงทำการขู่ว่าจะอัพโหลด Source Code ของ Snapchat อีกครั้งจนกว่าจะได้รับคำตอบจาก Snapchat

ที่มา : hackread

แจ้งเตือนช่องโหว่ iOS Trustjacking ยึดอุปกรณ์ได้จากระยะไกล

นักวิจัยด้านความปลอดภัยจาก Symantec ได้มีการเปิดเผยช่องโหว่สำหรับอุปกรณ์ iOS ล่าสุดภายใต้ชื่อ "Trustjacking" ซึ่งส่งผลให้ผู้โจมตีสามารถควบคุมและยึดครองอุปกรณ์ได้จากระยะไกลโดยอาศัยการเชื่อมต่อที่มีอยู่ก่อนแล้วของอุปกรณ์กับอุปกรณ์อื่นๆ

ที่มาที่แท้จริงของปัญหานี้มาจากฟีเจอร์ iTunes Wi-Fi Sync ซึ่งอนุญาตให้คอมพิวเตอร์สามารถควบคุมอุปกรณ์ iOS ได้ผ่านทั้งทางสายและทาง Wi-Fi ผู้โจมตีจะอาศัยข้อเท็จจริงที่อุปกรณ์ iOS จะ "เชื่อถือ" คอมพิวเตอร์ในการสั่งผ่าน iTunes API เพื่อแอบถ่ายภาพหน้าจอ ลงแอป หรือบังคับให้ทำ remote backup เพื่อขโมยข้อมูลได้ และแม้ว่าผู้ใช้งานจะไม่เคยเชื่อมต่อกับคอมพิวเตอร์ที่น่าสงสัยเลย ผู้โจมตีก็สามารถหลอกให้ผู้ใช้งานทำการเชื่อมต่อเอาไว้ด้วยวิธีการวิศวกรรมทางสังคมและใช้การเชื่อมต่อดังกล่าวเพื่อควบคุมได้เช่นเดียวกันตราบเท่าที่ยังอยู่ในเครือข่ายเดียวกัน

แอปเปิลได้ให้คำแนะนำในการป้องกันเบื้องต้นคือ ผู้ใช้ควรมีการตั้งค่า Passcode ซึ่งจะบังคับให้ต้องกรอกทุกครั้งเมื่อมีการเชื่อมต่อกับอุปกรณ์ใดๆ รวมไปถึงล้างการตั้งค่าคอมพิวเตอร์ใดๆ ที่อุปกรณ์ iOS เคยเชื่อถือผ่านทาง Settings > General > Reset > Reset Location & Privacy

ที่มา:bleepingcomputer

นักวิจัยด้านความปลอดภัย Roman Mueller ประกาศการค้นพบช่องโหว่บนฟีเจอร์อ่าน QR code ซึ่งอาจส่งผลให้ผู้ไม่หวังดีสามารถปลอมชื่อของ URL ที่เป็นผลลัพธ์เพื่อหลอกผู้ใช้งานได้

ฟีเจอร์อ่าน QR code ที่มีพร้อมกับ iOS 11 นั้น สามารถทำงานได้โดยการเปิดกล้องและใช้กล้องในการสแกน QR code อย่างไรก็ตาม Roman Mueller พบว่าหาก QR code นั้นมีการใส่ URL ในรูปแบบ https://xxx\@facebook.

นักวิจัยด้านความปลอดภัยจาก Kromtech Security Center รายงานว่า ข้อมูลส่วนตัวของผู้ใช้งานมากกว่า 31 ล้านคน รวมปริมาณข้อมูลมากกว่า 577 GB ได้ถูกเผยแพร่ สาเหตุเกิดจากฐานข้อมูล MongoDB ที่ถูกตั้งค่าความปลอดภัยไว้ไม่ดี ซึ่งเป็นของ Ai.Type บริษัทที่ได้รับความนิยมในการพัฒนา Virtual Keyboard แอพพลิเคชั่นที่สามารถปรับแต่งได้ตามต้องการสำหรับ Android และ iOS

จากข่าวรายงานว่าแอพพลิเคชั่นของ Ai.Type เป็น Virtual Keyboard ที่มีการร้องขอใช้งานระดับสิทธิ์แบบ Full Access ส่งผลให้สามารถรวบรวมข้อมูลอื่น ที่อยู่ในมือถือนอกเหนือจากข้อมูลของแอพพลิเคชั่นเองได้ด้วย โดยข้อมูลที่รั่วไหลประกอบด้วย

• ชื่อ, หมายเลขโทรศัพท์, และที่อยู่อีเมล
• ชื่ออุปกรณ์, ความละเอียดหน้าจอ, และรายละเอียดของรุ่น
• เวอร์ชัน Android, หมายเลข IMSI, และหมายเลข IMEI
• ชื่อเครือข่ายมือถือ, ประเทศที่อาศัยอยู่, และภาษาที่ผู้ใช้เปิดใช้งาน
• IP Address (ถ้ามี) พร้อมกับตำแหน่ง GPS (ลองจิจูด / ละติจูด)
• ข้อมูลที่เชื่อมโยงกับโปรไฟล์โซเชียลมีเดีย ประกอบด้วย วันเกิด, อีเมลล์ และภาพถ่าย

ที่มา : zdnet

นักวิจัยจาก Cisco Talos พบช่องโหว่ในระบบปฏิบัติการ iOS, Mac OS X, watchOS และ tvOS โดยช่องโหว่นี้เกิดจากความผิดพลาดในส่วน ImageIO ที่ใช้ประมวลผลไฟล์รูปภาพ ทำให้แฮกเกอร์สามารถส่งไฟล์รูปภาพที่มีโค้ดอันตรายฝังอยู่เข้ามาเพื่อควบคุมเครื่องได้

วิธีการโจมตีสามารถทำได้หลายช่องทาง เช่น ส่งไฟล์รูปภาพมาทาง MMS, iMessage ส่งอีเมลที่มีไฟล์รูปภาพ หรือหลอกให้ผู้ใช้เข้าเว็บไซต์ที่ทำไว้สำหรับโจมตี สาเหตุที่ทำให้ช่องโหว่นี้มีระดับความอันตรายสูงเนื่องจากเครื่องเป้าหมายสามารถถูกโจมตีได้สำเร็จโดยไม่จำเป็นต้องได้รับการยืนยันใดๆ จากผู้ใช้

ปัจจุบัน Apple ได้ออกอัปเดตแก้ไขช่องโหว่นี้แล้ว ผู้ใช้งานควรอัปเดตระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุด (iOS 9.3.3, Mac OS X 10.11.6, tvOS 9.2.2 และ watchOS 2.2.2) เพื่อป้องกันการถูกโจมตี

ที่มา : thehackernews

Palo Alto Networks รายงานมัลแวร์ตัวใหม่ชื่อ “XcodeGhost” ถูกฝังบนแอพจีนชื่อดังหลายตัว ซึ่งรวมถึง WeChat เวอร์ชัน iOS ด้วย

XcodeGhost อาศัยช่องโหว่ไฟล์ Xcode ของแอปเปิ้ลที่มีขนาดใหญ่ ซึ่งต้องใช้เวลาดาวน์โหลดนานจึงทำให้นักพัฒนาในประเทศจีนใช้วิธีดาวน์โหลดจาก mirror ในประเทศแทน ทำให้แฮกเกอร์แก้แพ็กเกจของ Xcode โดยฝังมัลแวร์ลงไปด้วย (อยู่ในส่วน CoreServices) โดย XcodeGhost จะแอบฝังโค้ดของตัวเองลงในแอพ iOS ตอนคอมไพล์ แอพเหล่านี้จะแอบดึงข้อมูลในเครื่องผู้ใช้ แล้วส่งกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์

จากการวิเคราะห์ของ Palo Alto Networks พบว่ามีแอพบน App Store จำนวน 39 ตัวได้รับผลกระทบ การแก้ปัญหาคงต้องรอนักพัฒนาแอพแต่ละตัวอัพเดตเวอร์ชั่นใหม่เท่านั้น มัลแวร์แบบนี้แสดงให้เห็นว่าผู้ใช้ป้องกันตัวเองยากมาก เพราะทุกตัวเป็นแอพจริงที่ถูกยัดไส้มาตั้งแต่ตอนคอมไพล์ รวมถึงกระบวนการตรวจสอบแอพของแอปเปิ้ลก็ไม่สามารถตรวจพบได้ง่ายๆ เช่นกัน โปรแกรมเมอร์ไทยควรใช้เรื่องนี้เป็นกรณีศึกษา และใช้งาน Xcode จากเซิร์ฟเวอร์ของแอปเปิลเท่านั้น

ที่มา : blognone