พบช่องโหว่ใหม่ใน iPhone ส่งผลให้สามารถเข้าถึงรูปภาพส่วนตัวบนเครื่องได้

Jose Rodriguez นักวิจัยด้านความปลอดภัยมือสมัครเล่นชาวสเปนได้ออกมาเปิดเผยถึงช่องโหว่บนระบบปฏิบัติ iOS 12 ใหม่ล่าสุดของ Apple ซึ่งช่วยให้แฮกเกอร์สามารถบายพาส Passcode ของ iPhone และเข้าถึงข้อมูลสำคัญภายใน ไม่ว่าจะเป็น รูปภาพ หมายเลขโทรศัพท์ หรืออีเมลได้ แม้แต่ iPhone XS ก็ได้รับผลกระทบ

การบายพาส Passcode ของ iPhone นี้ช่วยให้แฮกเกอร์สามารถเข้าถึงรายชื่อผู้ติดต่อที่เก็บอยู่บนเครื่อง ไม่ว่าจะเป็นหมายเลขโทรศัพท์หรืออีเมล รวมไปถึงสามารถเข้าถึง Camera Roll และโฟลเดอร์รูปถ่ายอื่นๆ ได้อีกด้วย โดยมีเงื่อนไขคือแฮ็กเกอร์ต้องเข้าถึงตัวเครื่อง iPhone ได้ จากนั้นจะใช้ประโยชน์จาก Siri และ VoiceOver เพื่อช่วยในการบายพาสการป้องกันของเครื่อง โดยหากต้องการทดสอบสามารถลองทำตามขั้นตอนต่างๆ ได้ตามลิงก์ที่มา

วิธีบายพาสรหัสผ่านนี้สามารถทำงานได้กับ iPhone ทั้งหมดในปัจจุบันรวมถึงอุปกรณ์ iPhone X และ XS ที่ใช้ระบบปฏิบัติการรุ่นล่าสุดเช่น iOS 12 ถึง 12.0.1 ทั้งนี้ผู้ใช้งานสามารถป้องกันเครื่องตนเองได้โดย "ปิดใช้งาน Siri" ไปก่อนจนกว่าจะมีแพทช์ใหม่จาก Apple ออกมา เพื่อแก้ไขปัญหานี้

ที่มา : thehackernews

Facebook 30 ล้านบัญชีถูกแฮ็ก ตรวจสอบหากคุณเป็นหนึ่งในนั้น

ปลายเดือนที่แล้ว Facebook ประกาศว่ามีการละเมิดความปลอดภัยที่แย่ที่สุดเท่าที่เคยมีมาซึ่งทำให้แฮกเกอร์สามารถขโมยโทเค็นการเข้าถึงข้อมูลของบัญชีผู้ใช้งานนับล้านโดยการใช้ประโยชน์จากความสามารถ 'View As' ในขณะที่การเปิดเผยครั้งแรก Facebook คาดว่าจำนวนผู้ใช้ที่ได้รับผลกระทบจากการละเมิดอาจอยู่ที่ประมาณ 50 ล้านบัญชี แม้ว่าการเปิดเผยล่าสุดจะลดจำนวนลงเหลือ 30 ล้านบัญชี

แฮกเกอร์สามารถเข้าถึงข้อมูลส่วนบุคคลจากผู้ใช้ Facebook ได้ถึง 29 ล้านรายแม้ว่าบุคคลเหล่านี้จะไม่มีการเข้าถึงข้อมูลจากแอพฯอื่น (third-party app) รองประธาน Facebook Guy Rosen ได้โพสต์บล็อกเมื่อเช้าวันศุกร์ที่ผ่านมา เพื่อให้รายละเอียดเพิ่มเติมเกี่ยวกับการละเมิดความปลอดภัยจำนวนมากในครั้งนี้ โดยแจ้งว่าแฮกเกอร์ขโมยข้อมูลจากบัญชีที่ได้รับผลกระทบดังต่อไปนี้
1. เหยื่อ 15 ล้านคน : ข้อมูลที่รั่วไหลประกอบด้วยชื่อผู้ใช้งาน และข้อมูลติดต่อ (เบอร์โทร, อีเมล, หรือทั้งคู่)
2. เหยื่อ 14 ล้านคน : ข้อมูลที่รั่วไหลจะเท่ากลุ่มที่ 1 แต่มีข้อมูลอื่นเพิ่มเติม ได้แก่ เพศ, สถานะความสัมพันธ์, ศาสนา, เมืองเกิด, เมืองที่อยู่, วันเกิด, ภาษา, อุปกรณ์ที่ใช้อยู่, การศึกษา, ที่ทำงาน, ตำแหน่งที่เช็คอินหรือถูก tag 10 ตำแหน่งล่าสุด, และข้อความค้นหาล่าสุด 15 ข้อความ
3. เหยื่อ 1 ล้านคน : ไม่มีข้อมูลใดๆ รั่วไหล

ไม่พบว่าข้อมูล Messenger, Messenger Kids, Instagram, WhatsApp, Oculus, Workplace, Pages, ข้อมูลการชำระเงิน, third-party แอพพลิเคชั่น, ข้อมูลการโฆษณาหรือบัญชีที่ใช้พัฒนาซอฟต์แวร์ มีการรั่วไหลแต่อย่างใด

Facebook ได้เปิดช่องทางผ่าน Help Center ให้ผู้ใช้งานสามารถตรวจสอบได้ว่าพวกเขาได้รับผลกระทบจากเหตุการณ์ในครั้งนี้หรือไม่ นอกจากนี้ Facebook จะแจ้งผู้ใช้ 30 ล้านคนที่ได้รับผลกระทบ เพื่อแจ้งว่าข้อมูลใดที่ผู้โจมตีสามารถเข้าถึงได้พร้อมกับขั้นตอนที่ควรทำเพื่อช่วยป้องกันตัวเองจากอีเมลที่น่าสงสัย ข้อความหรือสายโทรศัพท์

จนถึงปัจจุบันเป้าหมายของแฮกเกอร์ยังคงไม่ชัดเจน แต่ Rosen กล่าวว่า Facebook กำลังทำงานร่วมกับ FBI, คณะกรรมาธิการการค้าแห่งสหพันธรัฐแห่งสหรัฐอเมริกา, สำนักงานคณะกรรมการป้องกันข้อมูลไอริชและหน่วยงานอื่น ๆ เพื่อตรวจสอบว่าใครจะอยู่เบื้องหลัง และมีการกำหนดเป้าหมายใดเฉพาะหรือไม่

Help Center : [https://www.

Google จะเปลี่ยนนโยบายของ Play Strore หลังจากที่มีการรั่วไหลข้อมูลของ Google+

Google ได้เปิดตัวนโยบาย Play Strore ใหม่ เพื่อป้องกันแอพพลิเคชั่นบนมือถือไม่ให้รวบรวมบันทึกการโทรและข้อความของผู้ใช้
การตัดสินใจเปลี่ยนแปลงนโยบายนี้เกิดขึ้นหลังจากการรั่วไหลของข้อมูล Google+ ซึ่งได้เปิดเผยข้อมูลที่สำคัญของผู้คนนับล้านทั่วโลก การเปลี่ยนแปลงนโยบายในครั้งนี้ส่งผลให้นักพัฒนาที่ก่อนหน้านี้ได้รับอิสระในการจัดการแพลตฟอร์มถูกจำกัดสิทธิ์เพิ่มมากขึ้น

Google กล่าวว่าเฉพาะแอพพลิเคชั่นที่ผู้ใช้เลือกเป็น "แอพพลิเคชั่นเริ่มต้น (default apps)" และมีความสามารถในการเข้าถึงบันทึกการโทรและข้อความเท่านั้นที่จะสามารถขอการเข้าถึงข้อมูลดังกล่าวได้ นโยบายใหม่นี้มีผลบังคับใช้ตั้งแต่เมื่อวันที่ 9 ตุลาคมที่ผ่านมา อย่างไรก็ตาม Google ได้ให้เวลา 90 วันแก่นักพัฒนาเพื่ออัพเดทแอพพลิเคชั่นของตนเองให้เป็นไปตามข้อกำหนดตามนโยบายใหม่แอพพลิเคชั่นใดๆ ก็ตามที่จำเป็นต้องเข้าถึงข้อมูลดังกล่าวโดยตรงจำเป็นที่จะต้องถูกเปลี่ยนไปใช้ API ที่เป็นทางเลือกอื่นๆ เช่น SMS Retriever API, SMS Intent API, Share Intent API หรือ Dial Intent API แทน

นโยบายใหม่ที่ Google ออกมานี้เป็นนโยบายที่พยายามคำนึงถึงผู้ใช้งานเป็นหลักและช่วยปกป้องความเป็นส่วนตัวของพวกเขาขณะที่เพิ่มข้อจำกัด สำหรับนักพัฒนาแอพพลิเคชั่น
ประกาศจาก Google : [https://play.

พบช่องโหว่ความปลอดภัยในระบบอาวุธของกระทรวงกลาโหม สหรัฐอเมริกา

อ้างอิงจากรายงานของ General Accounting Office (GAO) ระบุว่าระบบอาวุธของสหรัฐอเมริกามีความเป็นไปได้ที่จะถูกโจมตีผ่านช่องโหว่ทางไซเบอร์สูงขึ้น จากการที่ระบบดังกล่าวต้องมีการอาศัยซอฟต์แวร์และระบบเครือข่าย

GAO อ้างว่าได้ทดสอบทำการโจมตีระบบอาวุธโดยใช้ผู้ทดสอบ 2 คน ทีมนักทดสอบดังกล่าวสามารถเข้าควบคุมระบบอาวุธได้ภายใน 1 ชั่วโมง และยังมีการทดสอบใช้เครื่องมือพื้นฐานเพื่อแฮ็กระบบ การจัดการรหัสผ่านที่ไม่รัดกุมและไม่ทำการเข้ารหัสข้อมูลระหว่างส่งก็เป็น 2 ปัจจัยที่ทำให้สามารถยึดระบบดังกล่าวได้โดยไม่ถูกตรวจเจอ โดย GAO กล่าวว่าในอนาคตจะทำการทดสอบระบบอาวุธที่สำคัญอื่นๆ ต่อไปในอนาคต

ที่มา : darkreading

VMware ได้อัปเดตเพื่อแก้ไขความปลอดภัยบน AirWatch console ที่มีความรุนแรงอยู่ในระดับ Critical โดยเป็นช่องโหว่ของการ Bypass SAML authentication โดยช่องโหว่ดังกล่าวสามารถทำให้ผู้โจมตีควบคุมระบบที่ได้รับผลกระทบ

ผู้ดูแลระบบหรือผู้ใช้งานสามารถศึกษารายละเอียดได้จาก VMware Security Advisory (VMSA-2018-0024) และควรทำการอัปเดตให้เป็นเวอร์ชั่นปัจจุบัน

ที่มา: us-cert

Adobe ได้ปล่อยอัพเดทเพื่อแก้ไขช่องโหว่ใน Adobe Acrobat and Reader บน Windows และ MacOS ซึ่งผู้โจมตีสามารถทำการเข้าถึงและควบคุมระบบที่มีช่องโหว่เพื่อรัน code ที่เป็นอันตรายได้ สามารถตรวจสอบผลิตภัณฑ์ และเวอร์ชั่นที่ได้รับผลกระทบได้จากลิ้งค์ด้านล่าง และแนะนำให้ผู้ดูแลระบบหรือผู้ใช้งานทำการอัปเดตแพทช์ให้เป็นเวอร์ชั่นล่าสุด
Link

ที่มา : US-CERT

Secureworks Counter Threat Unit (CTU) พบว่าแฮกเกอร์กลุ่ม Cobalt หรือที่รู้จักกันในอีกชื่อว่า "Gold Kingswood" ที่มีเป้าหมายโจมตีสถาบันการเงินทั่วโลก กำลังดำเนินการแพร่กระจายมัลแวร์ "SpicyOmelette"

SpicyOmelette เป็น javascript ที่มีความซับซ้อน มีความสามารถถูกใช้ในการ remote ทำให้แฮกเกอร์สามารถโจมตีระบบได้จากระยะไกล มัลแวร์ตัวนี้ถูกแพร่กระจายผ่านช่องทาง Phishing e-mail โดยมุ่งเป้าไปที่พนักงานในบริษัท ใน e-mail จะมีไฟล์ PDF แนบมาด้วย เมื่อเปิดไฟล์จะถูก redirect ไปยัง URL ที่ถูกชี้ไปยัง AWS ที่แฮกเกอร์เป็นคนควบคุม เมื่อเข้าหน้าเว็บที่ถูก redirect ไปนี้จะถูกทำการติดตั้ง SpicyOmelette ซึ่งหน้าเว็บดังกล่าวจะมีการ sign ด้วย trusted certificate เมื่อ SpicyOmelette ติดตั้งลงบนเครื่องของเป้าหมาย จะทำการรวบรวมข้อมูล IP, ชื่อระบบ และทำการติดตั้งไฟล์อันตรายอื่นเพิ่มเติม รวมทั้งสามารถสแกนหา antivirus ที่ติดตั้งอยู่ภายในเครื่องได้ มัลแวร์ยังสามารถเพิ่มสิทธิ์ตัวเอง (privilege escalation) ด้วยการขโมย credential อื่นๆ บนเครื่อง สามารถทำการเก็บข้อมูลเพื่อใช้ในการระบุว่าเป็นระบบที่มีความสำคัญหรือไม่ เช่น Payment Gateway หรือรูปแบบโครงสร้างของเครื่อง ATM

ก่อนหน้านี้เชื่อว่ากลุ่ม Cobalt มีส่วนเกี่ยวข้องในการขโมยเงินหลายล้านดอลลาร์จากสถาบันการเงินทั่วโลก แม้จะมีการจับกุมผู้ต้องสงสัยได้แต่ทาง CTU คาดว่ากลุ่มแฮกเกอร์ดังกล่าวจะไม่มีการหยุดกระทำการใดๆ และยังคงมีการพัฒนาการโจรกรรมต่อไปเรื่อยๆ และองค์กรการเงินยังคงอยู่ในความเสี่ยงต่อภัยคุกคามจากกลุ่มนี้อยู่

ที่มา : ZDNet

ถ้าหากพบว่า Account facebook ของคุณถูก logout โดยที่ไม่ทราบสาเหตุในช่วงนี้ ไม่ต้องกังวลไป เป็นฝีมือของ facebook เอง ผู้ใช้งานมากกว่า 90 ล้านคนจะถูกบังคับให้ออกจากระบบ เพื่อป้องกันการรั่วไฟลของข้อมูลผู้ใช้งานที่มาจากช่องโหว่ล่าสุด

โดยเมื่อวันศุกร์ที่ผ่านมา แฮกเกอร์ ใช้ประโยชน์จากช่องโหว่บนเว็บไซต์ 3 ช่องโหว่ในการเข้าถึงข้อมูล facebook account ของผู้ใช้งานกว่า 50 ล้านราย Guy Rosen ได้ทำการเผยแพร่ข้อมูลเหตุการณ์ในครั้งนี้ ซึ่งประกอบด้วย 10 ข้อมสำคัญ ดังต่อไปนี้
1. Facebook ตรวจพบการรั่วไหลของข้อมูลหลังจากพบการเข้าถึงที่เพิ่มขึ้นมากผิดปกติ
2. แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ทั้งหมด 3 ช่องโหว่ด้วยกัน ได้แก่ ในส่วนของการอัปโหลดไฟล์วีดีโอ happy birthday ในส่วนของ view as , การสร้าง token ที่ไม่ถูกต้องเมื่อทำการอัปโหลดวีดีโอผ่าน facebook แอพพลิเคชั่นบน mobile และการสร้าง token ที่มีสิทธิ์เป็นเจ้าของบัญชีให้กับ viewer ที่ดูผ่าน view as
3. แฮกเกอร์ ได้ token ที่สามารถใช้เข้าดูข้อมูลของผู้ใช้งาน facebook ไปกว่า 50 ล้านราย
4. แฮกเกอร์ ไม่ได้รหัสผ่านของผู้ใช้งานที่ข้อมูลรั่วไหลแต่อย่างใด หากแต่สามารถเข้าถึงข้อมูลต่างๆ ได้จาก access token ที่ได้ ผ่านทาง api ที่ app ต่างๆมีการใช้งานอยู่
5. แฮกเกอร์สามารถดาวโหลดข้อมูลของผู้ใช้งานได้ผ่าน API facebook
6. Application อื่นๆ ที่สามารถทำการ login ด้วย facebook มีความเสี่ยงที่จะถูกเข้าถึงได้ เช่นเดียวกับ facebook
7. Facebook ทำการ reset access token ของผู้ใช้งานจำนวนกว่า 90 ล้านบัญชี
8. ผู้ใช้งานควรตรวจสอบการเข้าใช้งาน facebook จากอุปกรณ์ต่างๆ ว่ามีการเข้าถึงบัญชีบนอุปกรณ์ต่างๆ จากตำแหน่งที่ผิดปกติหรือไม่
9. จากเหตุการณ์นี้ อาจจะไม่เกี่ยวข้องกับแฮกเกอร์ชาวไต้หวัน Chang Chi-Yuang ที่เคยแจ้งว่าพบช่องโหว่ zero-day บน facebook ก่อนหน้านี้
10. Facebook กำลังถูกดำเนินคดี กับเหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่นี้

เหตุการณ์ในครั้งนี้ทาง facebook ได้ทำการ reset การ login ให้กับผู้ใช้งานหลายสิบล้านบัญชี และให้คำแนะนำแก่ผู้ใช้งานที่ได้รับผลกระทบ ให้ยกเลิกการเชื่อมต่อไปยัง application ที่สามารถทำการ login จาก facebook ได้ ในขณะนี้ช่องโหว่ที่พบได้รับการแก้ไขแล้ว และ facebook กำลังร่วมมือกับ FBI ตรวจสอบสิ่งที่เกิดขึ้นโดยเร็วที่สุด

ที่มา : The Hacker News

เว็บ Fiverr และ Freelancer ที่เป็นเว็บเสนองานให้กับผู้รับทำงานฟรีแลนซ์ทั่วโลกถูกผู้โจมตีใช้แพร่ malware โดยเว็บสองเว็บดังกล่าวถูกใส่ malware ไปในข้อเสนอการทำงาน เมื่อเหยื่อเปิดไฟล์แนบที่ปลอมเป็นรายละเอียดงาน malware จะทำงานและแอบติดตั้ง Keylogger โดยเหยื่อไม่รู้ตัว AgentTesla และ Remote Access Trojans (RATs) เป็นตัวอย่างของ Keylogger ที่เป็นไปได้ว่าจะถูกติดตั้งให้กับเหยื่อโดยอ้างอิงจากรายงานของทีม MalwareHunterTeam โดยสามารถโจมตีได้หลายรูปแบบ เช่น โจมตีคอมพิวเตอร์ของเหยื่อเมื่อเหยื่อเปิดไฟล์ดังกล่าว หรือ ถ้าผู้โจมตีต้องการยึดครองโทรศัพท์ของเหยื่อ ไฟล์แนบปลอมจะแจ้งเหยื่อว่าไฟล์นั้นเปิดได้แค่ผ่านทางโทรศัพท์ ทำให้เหยื่อหลงเชื่อแล้วเปิดไฟล์ดังกล่าวในโทรศัพท์แทน

เพื่อป้องกันการโจมตีลักษณะนี้ ผู้ใช้งานควรอัพเดทแอนติไวรัสและ OS patch เสมอและถ้าหากเจอไฟล์ที่ไม่ไว้วางใจอาจนำไปแสกนใน Virustotal เพื่อตรวจสอบก่อน

ที่มา : E Hacking News

แม้ว่าช่วงครึ่งปีแรกของ 2560 ไม่พบการโจมตีใดๆ จาก Necurs botnet เลย แต่เมื่อเร็ว ๆ นี้ได้มีการพบว่าถูกใช้ในการแพร่กระจาย Locky ransomware ผ่านอีเมลล์นับล้านฉบับ

นักวิจัยด้านความปลอดภัยจาก Symantec พบว่ากลุ่มแฮกเกอร์ผู้อยู่เบื้องหลัง Necurs botnet ได้มีการเพิ่มฟังค์ชันบางอย่างในชุดเครื่องมือหลัก เพื่อให้ได้ข้อมูลเชิงลึกเพิ่มเติมของเหยื่อผ่านการใช้ Screenshots และส่งกลับไป นอกจากนี้ผู้โจมตีได้ทำการอัพเกรดมัลแวร์ ให้มีฟีเจอร์สำหรับรายงานข้อผิดพลาด (error-reporting) ในกรณีที่เกิดปัญหาในการดาวน์โหลด เพื่อส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ คล้ายกับฟีเจอร์สำหรับรายงานข้อผิดพลาด (error-reporting ) ของซอฟต์แวร์ที่ถูกต้อง

Necurs botnet มีการแพร่กระจายอยู่เพียง 5 ปีเท่านั้น แต่มันสามารถทำให้เครื่องของเหยื่อเป็นฐานในการแพร่กระจายมัลแวร์ (Zombie) ได้ถึง 6 ล้านเครื่อง ส่งผลทำให้เครื่องเหยื่อมีการดาวน์โหลด banking Trojans และ Ransomware ผ่านอีเมลล์ไปแล้วนับล้านฉบับ โดยส่วนใหญ่ผู้โจมตีจะปลอมแปลงอีเมลล์เป็นใบแจ้งหนี้ (INVOICE) โดยมีรายละเอียดดังนี้

Subject: Status of invoice [หมายเลขใบ INVOICE ปลอม]
Attachment: [หมายเลขใบ INVOICE ปลอม].html
เนื้อหาของอีเมลล์ประกอบด้วยข้อความที่จูงใจให้ผู้อ่านอยากเปิดเอกสารแนบเพื่อตรวจสอบใบแจ้งหนี้ หากผู้ใช้เปิดไฟล์ .html ที่แนบมา ระบบจะทำการดาวน์โหลด JavaScript ผ่านทาง iframe ที่ฝังมาเพื่อดาวน์โหลด Payload ที่อาจเป็น Locky หรือ Trickybot มาด้วย

วิธีป้องกันอันตรายจากอีเมลล์
1. ไม่ทำการเปิด หรือทำการลบอีเมลล์ที่ไม่มีแหล่งที่มาน่าเชื่อถือ โดยเฉพาะอย่างยิ่งหากเป็นอีเมลล์ที่มีลิงก์หรือไฟล์เอกสารแนบ
2. อัพเกรดโปรแกรมรักษาความปลอดภัยและซอฟต์แวร์อย่างสม่ำเสมอ
3. ทำการสำรองข้อมูลของเครื่องอย่างสม่ำเสมอ

ที่มา : digitaljournal