พบช่องโหว่ใหม่ใน iPhone ส่งผลให้สามารถเข้าถึงรูปภาพส่วนตัวบนเครื่องได้

Jose Rodriguez นักวิจัยด้านความปลอดภัยมือสมัครเล่นชาวสเปนได้ออกมาเปิดเผยถึงช่องโหว่บนระบบปฏิบัติ iOS 12 ใหม่ล่าสุดของ Apple ซึ่งช่วยให้แฮกเกอร์สามารถบายพาส Passcode ของ iPhone และเข้าถึงข้อมูลสำคัญภายใน ไม่ว่าจะเป็น รูปภาพ หมายเลขโทรศัพท์ หรืออีเมลได้ แม้แต่ iPhone XS ก็ได้รับผลกระทบ

การบายพาส Passcode ของ iPhone นี้ช่วยให้แฮกเกอร์สามารถเข้าถึงรายชื่อผู้ติดต่อที่เก็บอยู่บนเครื่อง ไม่ว่าจะเป็นหมายเลขโทรศัพท์หรืออีเมล รวมไปถึงสามารถเข้าถึง Camera Roll และโฟลเดอร์รูปถ่ายอื่นๆ ได้อีกด้วย โดยมีเงื่อนไขคือแฮ็กเกอร์ต้องเข้าถึงตัวเครื่อง iPhone ได้ จากนั้นจะใช้ประโยชน์จาก Siri และ VoiceOver เพื่อช่วยในการบายพาสการป้องกันของเครื่อง โดยหากต้องการทดสอบสามารถลองทำตามขั้นตอนต่างๆ ได้ตามลิงก์ที่มา

วิธีบายพาสรหัสผ่านนี้สามารถทำงานได้กับ iPhone ทั้งหมดในปัจจุบันรวมถึงอุปกรณ์ iPhone X และ XS ที่ใช้ระบบปฏิบัติการรุ่นล่าสุดเช่น iOS 12 ถึง 12.0.1 ทั้งนี้ผู้ใช้งานสามารถป้องกันเครื่องตนเองได้โดย "ปิดใช้งาน Siri" ไปก่อนจนกว่าจะมีแพทช์ใหม่จาก Apple ออกมา เพื่อแก้ไขปัญหานี้

ที่มา : thehackernews

มีการค้นพบการโจมตีด้วย CSS ส่งผลให้ระบบปฏิบัติการ iOS ทำการ restart หรือ respring (การเรียกใช้งานหน้าจอ Home ของ iPhone ใหม่อีกรอบ) และระบบปฏิบัติการ macOS ค้าง เพียงแค่เข้าไปชมเว็บไซต์ที่มี CSS และ HTML ที่เป็นอันตราย ผู้ใช้ Windows และ Linux ไม่ได้รับผลกระทบจากปัญหานี้

การโจมตีนี้ค้นพบโดย Sabri Haddouche นักวิจัยด้านความปลอดภัยของ Wire การโจมตีใช้จุดอ่อนในคุณสมบัติ webkit-backdrop- filter CSS การโจมตีนี้มีผลกับเบราว์เซอร์ทั้งหมดบน iOS เช่นเดียวกับ Safari และ Mail ใน macOS เพราะทั้งหมดใช้เครื่องมือการแสดงผล WebKit จากการทดสอบพบว่าหากเป็น iOS 12 อุปกรณ์จะทำการ reboot แต่ใน iOS 11.4.1 จะเกิดเพียงแค่การ respring และสำหรับ macOS การโจมตีจะทำให้เมล์และซาฟารีหยุดทำงานเป็นเวลาสองวินาทีและทำให้คอมพิวเตอร์ทำงานช้าลง

ทั้งนี้นักวิจัยได้มีการโพสต์ CSS และ HTML ที่ใช้ทดสอบดังกล่าวไว้ในหน้า GitHub ของเขา โดยผู้ที่สนใจจะต้องใช้ความระมัดระวังอย่างสูงในการทดสอบ เนื่องจากหากเผลอคลิกลิงค์ จะส่งผลทำให้ iOS เกิดปัญหาขึ้นหรือทำให้เกิดปัญหากับ Mac อย่างรวดเร็ว

ที่มา:bleepingcomputer

Google ติดตามการเคลื่อนไหวของผู้ใช้งานได้ตลอดเวลาจากฟีเจอร์ Location

ในทุกครั้งที่มีการใช้งานแอปพลิเคชั่นยอดนิยมอย่าง Google Maps ผู้ใช้จำเป็นต้องเปิดฟีเจอร์ค้นหาตำแหน่งหรือ Location เพื่อระบุตำแหน่ง ซึ่งในการเปิดใช้งานฟีเจอร์ Location ทุกครั้งจำเป็นต้องได้รับความยินยอมจากผู้ใช้งานเพื่อค้นหาเส้นทางและเมื่อสิ้นสุดการใช้งานผู้ใช้ส่วนใหญ่จะทำการปิดฟีเจอร์ Location ไว้ชั่วคราวเพื่อความเป็นส่วนตัวของผู้ใช้ในการใช้งาน แต่จากการตรวจสอบล่าสุดแสดงให้เห็นว่าทาง Google ยังมีการติดตามผู้ใช้งานอยู่ตลอดเวลา

Associated Press เปิดเผยว่าบริการของ Google จำนวนมากบนอุปกรณ์ Android และ iPhone ทำการเก็บข้อมูล Location ของผู้ใช้ไว้ใน "Location History" บนโทรศัพท์มือถือของผู้ใช้แม้ว่าจะมีคำสั่งหยุดการทำงาน Location ชั่วคราวก็ตาม ปัญหาดังกล่าวส่งผลกระทบกับผู้ใช้งาน Android ประมาณสองพันล้านรายและผู้ใช้งาน iPhone นับร้อยล้านคนทั่วโลกที่ใช้งานแอพพลิเคชั่น Google Map ในการค้นหาเส้นทาง

หากผู้ใช้งานไม่ต้องการให้ Google ติดตามการเคลื่อนไหวได้ตลอดเวลา ผู้ใช้สามารถตั้งค่าให้ปิดการใช้งาน "Location History" ได้

ที่มา : thehackernews

พบความสามารถในการเข้าถึงข้อมูลส่วนบุคคลที่ร้ายแรงบน iPhone ซึ่งทำให้ผู้ไม่หวังดีสามารถเข้าโหมดถ่ายภาพและบันทึกวิดีโอโดยที่ผู้ใช้งานไม่รู้ตัว ช่องโหว่นี้ถูกค้นพบโดยนักพัฒนาชาวออสเตรียและวิศวกรของ Google Felix Krause ซึ่งระบุรายละเอียดลงในโพสต์บล็อกของเขา
การเข้าถึงกล้องบนแอพพลิเคชั่นมากมายเช่น Facebook, WhatsApp และ Snapchat ต้องมีการขอสิทธิ์เพื่อเข้าถึงกล้องของผู้ใช้ที่จะถ่ายภาพภายในแอพพลิเคชั่น แม้ส่วนนี้จะถูกมองว่าเป็นความสามารถของ Application แต่ก็สามารถถูกใช้เป็นช่องทางในการเข้าถึงความเป็นส่วนตัวของผู้ใช้จากผู้พัฒนาแอพพลิเคชั่นที่ไม่หวังดีด้วยเช่นกัน ส่งผลให้สามารถถ่ายภาพและบันทึกกิจกรรมของผู้ใช้ แล้วทำการอัพโหลดได้ทันที รวมทั้งสามารถเรียกใช้การตรวจจับใบหน้าเรียลไทม์(Face Detection) เพื่ออ่านลักษณะบนใบหน้าโดยไม่มีการแจ้งเตือนใดๆ โดยทั้งหมดนี้ส่งผลให้เกิดความไม่ปลอดภัยในเรื่องของความเป็นส่วนตัวสำหรับผู้ใช้งานได้โดยตรง
ทั้งนี้ Krause ก็ได้ทำการแจ้งไปยัง Apple เพื่อให้แนะนำวิธีที่สามารถกำหนดให้มีการใช้กล้องเพียงชั่วคราวภายในเวลาที่กำหนดเท่านั้น หรืออาจให้มีการแจ้งบนหน้าจอ หรือมีแสงไฟขึ้นเมื่อมีการใช้กล้องเพื่อผู้ใช้จะได้ทราบ อย่างเช่นการ Record Screen ที่จะมีแถบสีแดงขึ้น เป็นต้น และที่สำคัญที่สุดคือควรติดตั้ง Application ที่มาจาก App Store เท่านั้น รวมถึงควรจะอ่าน Review เกี่ยวกับ Application หรือ Developer จากผู้ใช้งานคนอื่นก่อนที่จะติดตั้ง อย่างไรก็ตามหากผู้ใช้งานคนไหนสะดวกที่ใช้วิธีติด Sticker ในส่วนของกล้องเหมือนกับ Mark Zuckerberg(Facebook CEO) และ James Comey(ex-FBI Director) ก็ถือเป็นทางเลือกหนึ่งในการป้องกันได้เช่นเดียวกัน

ที่มา : Thehackernews

Gal Beniamini นักวิจัยด้านความปลอดภัยจาก Google Project Zero ได้มีการประกาศการค้นพบช่องโหว่ด้านความปลอดภัย CVE-2017-11120 ซึ่งสามารถทำให้ผู้โจมตีเข้าควบคุม iPhone 7 และอุปกรณ์ที่ใช้ iOS ในรุ่นอื่นๆ ได้จากระยะไกลผ่านการเชื่อมต่อ Wi-Fi พร้อมตัวอย่างโค้ดสำหรับโจมตี

ช่องโหว่ดังกล่าวนั้นเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันโค้ดจากระยะไกลซึ่งอยู่บนเฟิร์มแวร์ Wi-Fi ของ iPhone 7 โดยกระทบ iOS ทุกเวอร์ชันก่อนหน้า iOS 11 ในการทดสอบนั้น Gal ได้ทำการทดสอบช่องโหว่บน iPhone 7 ซึ่งแสดงให้เห็นอย่างชัดเจนว่าสามารถใช้ช่องโหว่ควบคุมอุปกรณ์ได้ แต่ช่องโหว่ดังกล่าวอาจส่งผลกระทบต่ออุปกรณ์ในรุ่นหรือจากผู้ผลิตอื่นๆ ที่ใช้เฟิร์มแวร์เดียวกันได้

ในขณะนี้ทางแอปเปิลและกูเกิลได้มีการปล่อยแพตช์ด้านความปลอดภัยเพื่อปิดช่องโหว่นี้แล้ว แนะนำให้ผู้ใช้งานทำการอัพเดตซอฟต์แวร์ระบบเพื่อปิดช่องโหว่นี้โดยด่วน

ที่มา : Bleepingcomputer