OpenSSL ออกแพตช์แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูง 2 รายการ

OpenSSL อัปเดตแพตช์เวอร์ชัน 3.0.7 เพื่อแก้ไขช่องโหว่ 2 รายการ ได้แก่ CVE-2022-3786 และ CVE-2022-3602 ซึ่งเป็นช่องโหว่ที่มีระดับความรุนแรงสูงที่เกิดจากข้อจำกัดของฟังก์ชันการตรวจสอบ Certificate ใน OpenSSL

รายละเอียดของช่องโหว่

CVE-2022-3602 เป็นช่องโหว่ในลักษณะ 4-byte stack buffer overflow ที่อาจทำให้ระบบเกิดการขัดข้อง หรือสามารถนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ได้
CVE-2022-3786 เป็นช่องโหว่ที่หากผู้โจมตีมีการสร้าง Email Address ในลักษณะพิเศษด้วยวิธีการ punycode-encoded ใน Certificate จะส่งผลให้ OpenSSL ทำงานผิดพลาด เกิดการ buffer overrun ซึ่งอาจนำไปสู่การโจมตีในลักษณะการปฏิเสธการให้บริการ (DoS) ได้ในที่สุด

โดยเวอร์ชัน OpenSSL ที่ได้รับผลกระทบมีตั้งแต่ 3.0.0 ไปจนถึง 3.0.6 ซึ่ง OpenSSL มีคำแนะนำสำหรับการลดความเสี่ยง โดยแนะนำให้ผู้ดูแลระบบปิดการทำงานของ TLS client authentication จนกว่าจะสามารถดำเนินการอัปเดตแพตซ์ได้

จากช่องโหว่ดังกล่าว ผู้เชี่ยวชาญจาก Censys รายงานว่ามีระบบที่เข้าถึงได้จากอินเทอร์เน็ตประมาณ 7,000 ระบบที่ใช้ OpenSSL เวอร์ชันที่มีช่องโหว่ โดยมาจากโฮสต์ที่ไม่ซ้ำกันมากกว่า 1,793,000 ราย

ส่วนผู้เชี่ยวชาญด้าน Cloud Security อย่าง Wiz.

พบช่องโหว่ในการ Parsing certificates บน OpenSSL ซึ่้งอาจส่งผลให้เกิด infinite-loop DoS

OpenSSL ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ในไลบรารีที่หากถูกโจมตีได้สำเร็จจะทำให้เกิด infinite-loop ซึ่งอาจเป็นเงื่อนไขที่ทำให้เกิด Denial of service ได้

Denial of service อาจดูไม่ใช่เรื่องที่ร้ายแรงมาก แต่ก็สามารถทำให้เกิดการหยุดชะงักของการดำเนินธุรกิจ หรือส่งผลกระทบในแง่ธุรกิจในระยะยาว และยังส่งผลเสียต่อชื่อเสียงแบรนด์ที่ได้รับผลกระทบอีกด้วย

โดยเฉพาะอย่างยิ่ง OpenSSL ซึ่งเป็นไลบรารี Open source ที่ใช้กันอย่างแพร่หลายโดยแพลตฟอร์มออนไลน์ขนาดใหญ่จำนวนมาก ดังนั้นช่องโหว่ใดๆที่เกิดขึ้นอาจส่งผลกระทบกับผู้ใช้งานเป็นจำนวนมาก

Certificates ที่เป็นต้นเหตุของการเกิด DoS

ในเคสนี้ ปัญหาของ OpenSSL เกิดจากการ Parsing certificates ** ที่มีรูปแบบไม่ถูกต้อง ในฟังก์ชัน BN_mod_sqrt() ส่งผลให้เกิดสิ่งที่เรียกว่า "infinite loop"

Certificates จะต้องประกอบไปด้วย elliptic curve public keys in compressed form หรือ elliptic curve parameters with a base point encoded in compressed form จึงจะทำให้เกิดผลกระทบจากช่องโหว่ดังกล่าว

“เนื่องจาก Certificates parsing เกิดขึ้นก่อนการตรวจสอบ Certificates signature นั่นหมายความว่ากระบวนการใดๆที่มีการ parse external certificates ก็อาจทำให้เป็นสาเหตุของการถูกโจมตีด้วยวิธีการ DoS ได้”

"นอกจากนี้ infinite loop สามารถเกิดขึ้นได้เมื่อมีการ parsing crafted private keys ได้เช่นเดียวกัน"

มีหลายสถานการณ์ที่การใช้งาน OpenSSL อาจเสี่ยงต่อช่องโหว่นี้
• TLS clients consuming server certificates
• TLS servers consuming clients certificates
• Hosting providers taking certificates or private keys from customers
• Certificates authorities parsing certification requests from subscribers
• Anything else which parse ASN.1 elliptic curve parameters

โดยช่องโหว่นี้มีเลข CVE-2022-0778 และส่งผลกระทบต่อ OpenSSL เวอร์ชัน 1.0.2 ถึง 1.0.2zc, 1.1.1 ถึง 1.1.1n และ 3.0 ถึง 3.0.1

Tavis Ormandy นักวิจัยด้านความปลอดภัยของ Google เป็นผู้ค้นพบช่องโหว่นี้ และแจ้งไปที่ OpenSSL เมื่อวันที่ 24 กุมภาพันธ์ 2022

ช่องโหว่ดังกล่าวได้รับการแก้ไขในเวอร์ชัน 1.1.1n และ 3.0.2 ในขณะที่ premium users ของเวอร์ชัน 1.0.2 จะได้รับการอัพเดทเป็นเวอร์ชัน 1.0.2zd เนื่องจากเวอร์ชัน 1.0.2 ไม่ได้ parse public keys ในระหว่างการ Parsing certificates การจะทำให้เกิด infinite loop จึงซับซ้อนกว่าเวอร์ชันอื่นๆ แต่ก็ยังเกิดขึ้นได้

เนื่องจาก OpenSSL เวอร์ชัน 1.0.2 End of Life ไปแล้ว จึงยังไม่ได้รับการแพตซ์ ดังนั้นผู้ใช้ที่ไม่ใช่ premium users ควรอัปเกรดข้ามเป็นเวอร์ชันที่ใหม่กว่าโดยเร็วที่สุด

ผู้ใช้ OpenSSL 1.0.2 ควรอัปเกรดเป็น 1.0.2zd (เฉพาะ premium users เท่านั้น)
ผู้ใช้ OpenSSL 1.1.1 ควรอัปเกรดเป็น 1.1.1n
ผู้ใช้ OpenSSL 3.0 ควรอัปเกรดเป็น 3.0.2

พบการโจมตีเกิดขึ้นแล้วหรือยัง?

แม้ว่า OpenSSL ไม่ได้บอกว่าช่องโหว่นี้ถูกใช้โดยผู้โจมตีแล้ว แต่ CSIRT หน่วยงานความปลอดภัยทางไซเบอร์แห่งชาติของอิตาลีได้ระบุว่าพบการโจมตีเป็นวงกว้างแล้วในปัจจุบัน

ทาง Bleeping Computer ได้ติดต่อทีม OpenSSL เพื่อขอคำชี้แจงในประเด็นนี้ และทาง OpenSSL ได้แจ้งว่าพวกเขายังไม่พบว่ามีการโจมตีเกิดขึ้นจริง

แต่ด้วยช่องโหว่ไม่ได้ซับซ้อนมาก และมีข้อมูลที่ถูกเผยแพร่ออกมาพอสมควร จึงอาจทำให้ผู้ไม่หวังดีสามารถทดสอบ และสร้างเครื่องมือในการโจมตีช่องโหว่ได้อย่างรวดเร็วในอนาคต

OpenSSL ให้ข้อมูลกับ Bleeping Computer เพิ่มเติมดังนี้:
“ช่องโหว่นี้สามารถใช้ในการโจมตีได้ไม่ยาก แต่ผลกระทบนั้นจำกัดอยู่ที่ DoS เท่านั้น สถานการณ์ที่อาจจะพบบ่อยในการใช้ประโยชน์จากช่องโหว่นี้จะเกิดจาก TLS Client ที่มีการเข้าถึง Malicious server ส่วน TLS server อาจได้รับผลกระทบหากมีการเปิดใช้งาน client authentication ด้วย configuration ที่ไม่เหมาะสม และมี malicious client ที่พยายามเชื่อมต่อกับเซิร์ฟเวอร์ แต่เป็นการยากที่จะคาดเดาว่าจะมีการนำไปปรับใช้เป็นเครื่องมือในการโจมตีเป็นวงกว้างมากถึงระดับใด ”

ที่มา : bleepingcomputer

OpenSSL ออกแพตช์เวอร์ชัน 1.1.1k เพื่อแก้ปัญหาช่องโหว่ความรุนแรงสูง 2 รายการ

ช่องโหว่ดังกล่าวประกอบด้วย CVE-2021-3449 และ CVE-2021-3450

CVE-2021-3449: ช่องโหว่ที่สามารถทำให้เกิด DoS บนเครื่องที่โดนโจมตีได้ด้วยการส่ง ClientHello ที่ได้รับการปรับแต่งจาก Client มายังเครื่อง Server ที่มีช่องโหว่ มีผลกระทบกับ Server ที่ใช้ OpenSSL 1.1.1 ร่วมกับ TLS 1.2
CVE-2021-3450: ช่องโหว่ในกระบวนการพิสูจน์ certificate chain เมื่อเป็นการใช้ X509_V_FLAG_X509_STRICT ส่งผลให้เกิด certificate bypassing ส่งผลให้ไม่มีการ reject TLS certificates ที่ไม่ได้ถูก sign ด้วย browser-trusted certificate authority (CA) ได้ มีผลกระทบตั้งแต่ OpenSSL 1.1.1h เป็นต้นไป

ผู้ใช้งานเวอร์ชันที่ได้รับผลกระทบ ควรดำเนินอัปแพตช์ให้เป็นเวอร์ชันล่าสุด

ที่มา: thehackernews

OpenSSL แจ้งเตือนช่องโหว่ระดับร้ายแรงสูง โจมตีแบบ Denial of Service ได้

โครงการ OpenSSL ประกาศเวอร์ชันใหม่ของซอฟต์แวร์ OpenSSL พร้อมกับแพตช์ด้านความปลอดภัยสำหรับช่องโหว่ที่ถูกแจ้งโดย David Benjamin จาก Google ช่องโหว่ถูกโจมตีและทำให้ระบบที่ใช้งานตกอยู่ในเงื่อนไข Denial of Service (DoS) ได้

ช่องโหว่ดังกล่าวเกิดจากปัญหา null pointer derefence ในการตรวจสอบข้อมูลในใบรับรอง X.509 โดยแฮกเกอร์สามารถสร้างใบรับรองแบบพิเศษ จากนั้นหลอกให้เหยื่อซึ่งใช้ซอฟต์แวร์ OpenSSL ในรุ่นที่มีช่องโหว่ทำการเข้าถึงและตรวจสอบ เหยื่อจะถูกโจมตีและเจอข้อผิดพลาด DoS ได้

ช่องโหว่นี้ส่งผลกระทบกับ OpenSSL ในรุ่น 1.1.1 และ 1.0.2 ผู้ใช้งานควรทำการอัปเกรดเป็น OpenSSL 1.1.1i โดยด่วน

ที่มา: securityweek

OpenSSL Project fixed high-severity CVE-2020-1967 DoS issue in OpenSSL

OpenSSL แก้ไขช่องโหว่ CVE-2020-1967 ที่เป็นช่องโหว่ในการโจมตี DoS ใน OpenSSL

โครงการ OpenSSL ได้เปิดตัวแพตช์ความปลอดภัยสำหรับ OpenSSL ที่ทำการเเก้ไขช่องโหว่ที่มีความรุนแรงสูงถูกติดตามเป็น CVE-2020-1967 ทำให้ผู้โจมตีสามารถโจมตีแบบปฏิเสธการให้บริการ (DoS) โดยช่องโหว่นี้ถูกค้นพบโดย Bernd Edlinger และได้รายงานต่อ OpenSSL เมื่อวันที่ 7 เมษายน 2020 ที่ผ่านมา

ช่องโหว่ CVE-2020-1967 ช่องโหว่เกิดจากปัญหาการเรียกใช้ฟังก์ชัน SSL_check_chain () ในระหว่างการทำ Handshake กับ TLS 1.3 ที่เกิดการล้มเหลวจึงทำให้ NULL pointer จัดการกับ extension ที่ชื่อ Signature_algorithms_cert บน TLS extension ไม่ถูกต้อง ผู้โจมตีสามารถใช้ประโยชน์จากความผิดพลาดที่เกิดขึ้นได้โดยใช้ peer ที่ออกแบบมาเป็นพิเศษทำการโจมตี ซึ่งอาจจะทำให้เกิดการปฏิเสธการให้บริการ (DoS) บนเซิร์ฟเวอร์หรือแอปพลิเคชันไคลเอนต์ที่ OpenSSL กำลังทำงานอยู่

ช่องโหว่นี้ส่งผลกระทบต่อ OpenSSL เวอร์ชั่น 1.1.1d, 1.1.1e และ 1.1.1f

การอัพเดตแพตช์
ปัญหาจากช่องโหว่ได้รับการเเก้ไขใน OpenSSL เวอร์ชั่น 1.1.1g ผุ้ใช้งานควรทำการอัพเดตแพตช์เพื่อป้องกันการโจมตี

ที่มา : securityaffairs

OpenSSL Releases Security Updates

OpenSSL ออกรุ่นย่อยให้กับเวอร์ชัน 1.1.0 และ 1.0.2 เพื่อแก้ช่องโหว่ด้านความปลอดภัย 3 รายการ โดยมี 2 ช่องโหว่ที่มีความเสี่ยงอยู่ในระดับกลางและอีก 1 ช่องโหว่อยู่ในระดับต่ำ

สำหรับช่องโหว่ระดับกลาง 2 ช่องโหว่นั้น ช่องโหว่หนึ่งส่งผลให้ผู้โจมตีสามารถทำ DoS โดยการสร้างใบรับรองในฟอร์แมต ASN.1 ในรูปแบบที่ผิดปกติได้ ส่วนอีกช่องโหว่หนึ่งเป็นช่องโหว่เฉพาะในซีพียู HP-UX PA-RISC ที่อาจทำให้เกิดการจำลองข้อมูลที่ผ่านการพิสูจน์ตัวตนซึ่งอาจกระทบต่อคุณสมบัติด้านปลอดภัยได้ ส่วนช่องโหว่ในระดับต่ำที่ถูกระบุว่ามีการแพตช์แล้วนั้นเป็นช่องโหว่ overflow ที่ความเสี่ยงและโอกาสเกิดขึ้นต่ำ

Recommendation OpenSSL ในเวอร์ชัน 1.1.0 ควรถูกอัปเกรดให้อยู่ในรุ่น 1.1.0h ส่วนในเวอร์ชัน 1.0.2 ควรอัปเกรดให้อยู่ในรุ่น 1.0.2o

ที่มา: us-cert

OpenSSL Security Advisory

OpenSSL 1.1.0 และ 1.2.0 Conclusion แพตช์ด้านความปลอดภัย OpenSSL ประจำเดือนธันวาคม 2017 ไม่ค่อยร้ายแรงเท่าไหร่แต่ก็แนะนำให้อัปเดต

โครงการ OpenSSL ประกาศแพตช์ด้านความปลอดภัยประจำเดือนธันวาคม 2017 เมื่อวันพฤหัสที่ผ่านมาโดยในรอบนี้นั้นประกอบไปด้วยแพตช์สำหรับ 2 ช่องโหว่ด้วยกัน

ช่องโหว่แรกรหัส CVE-2017-3737 เป็นช่องโหว่ระดับความร้ายแรงปานกลางที่ส่งผลให้แม้ว่า SSL/TLS connection จะอยู่ในสถานะล้มเหลวในการเชื่อมต่อไปแล้ว โปรแกรมก็อาจสามารถส่งข้อมูลออกไปได้โดยไม่มีการเข้ารหัสที่เหมาะสม ช่องโหว่นี้ไม่กระทบ OpenSSL 1.1.0 ส่วนผู้ใช้งานที่ใช้งาน 1.0.2 อยู่แนะนำให้อัปเดตไปที่ 1.0.2n

ช่องโหว่ที่สอง CVE-2017-3738 เป็นช่องโหว่ระดับความร้ายแรงต่ำซึ่งเกิดจากการ overflow ในอัลกอริธึมคำนวณจำนวนเฉพาะซึ่งจะเกิดขึ้นบนโปรเซสเซอร์ที่รองรับ AVX2 เท่านั้น ช่องโหว่นี้กระทบ 1.1.0 แต่เนื่องจากความรุนแรงที่ต่ำ แพตช์จะถูกปล่อยมาใน 1.1.0h ซึ่งเป็นรุ่นในอนาคตแทน ส่วนผู้ใช้งานที่ใช้งาน 1.0.2 อยู่แนะนำให้อัปเดตไปที่ 1.0.2n

ที่มา : openssl

OpenSSL Security Advisory

แพตช์ล่าสุดสำหรับ OpenSSL มาแล้ว

โครงการ OpenSSL ได้มีการประกาศแพตช์ด้านความปลอดภัยล่าสุดสำหรับซอฟต์แวร์ OpenSSL ในวันที่ 2 พฤศจิกายนที่ผ่านมา โดยแพตช์ในรอบนี้นั้นปิดช่องโหว่สองช่องโหว่ที่ระดับความรุนแรงปานกลางและต่ำ โดยมีรายละเอียดของช่องโหว่ดังนี้

ช่องโหว่แรกรหัส CVE-2017-3736 เป็นช่องโหว่ในกระบวนการคำนวณหาค่าตัวเลขที่มีขนาดใหญ่อย่างรวดเร็วซึ่งถูกคิดค้นโดย Peter Montgomery ช่องโหว่นี้ถูกรายงานว่าไม่กระทบต่อกระบวนการสร้างคีย์ในอัลกอริธึมที่อยู่บนพื้นฐานของ Elliptic-curve แต่ส่งผลกระทบ "ในระดับที่น้อยมากและเป็นไปได้ยากมากๆ ที่จะโจมตี" กับ RSA และ DSA และจะส่งผลกระทบในระบบที่ใช้โปรเซสเซอร์ที่มีส่วนเสริม BMI1, BMI2 และ ADX อาทิ Intel Broadwell และ AMD Ryzen เท่านั้น

ช่องโหว่ที่สองรหัส CVE-2017-3735 เป็นช่องโหว่ one-byte buffer overread หากมีการกำหนดค่าในฟิลด์ IPAddressFamily ของ certificate แบบ X.509 ที่ไม่เหมาะสม ซึ่งอาจส่งผลกระทบต่อการแสดงข้อมูลเมื่อมีการเรียก certificate มาดูได้

ทั้งสองช่องโหว่สามารถแพตช์ได้ผ่านการอัพเดตซอฟต์แวร์ โดยสำหรับผู้ใช้งานที่ใช้รุ่น 1.1.0 ให้ทำการอัพดตไปเป็น 1.1.0g และสำหรับผู้ใช้งานที่ใช้รุ่น 1.0.2 ให้ทำการอัพเดตไปเป็น 1.0.2m

ที่มา openssl

Securing Network Time

สรุปการตรวจสอบด้านความปลอดภัยของ ntpd, NTPSec และ Chrony จาก Core Infrastructure Initiative

Core Infrastructure Initiative (CII) เป็นโครงการภายใต้ Linux Foundation ซึ่งมีหน้าที่ในการหาทุนและช่วยสนับสนุนโครงการซอฟต์แวร์แบบโอเพนซอร์สหลายโครงการที่มีความสำคัญสูง อาทิ OpenSSL, OpenSSH รวมไปถึง ntpd และ NTPsec ล่าสุด CII ร่วมกับ Mozilla ได้ร่วมกันสนับสนุนทุนเพื่อตรวจสอบซอร์สโค้ดของโครงการซอฟต์แวร์ 3 โครงการที่อิมพลีเมนต์การทำงานของโปรโตคอล NTP ได้แก่ ntpd, NTPSec และ Chrony โดยการตรวจสอบทั้งหมดนั้นถูกดำเนินการโดยบริษัทด้านความปลอดภัย Cure53

สำหรับความปลอดภัยของโปรแกรม ntpd นั้น Cure53 ได้ทำการตรวจสอบ ntpd ในรุ่น 4.2.8p10 ซึ่งมีการเผยแพร่ในเดือนมีนาคม 2017 ด้วยลักษณะของโครงการ ntpd ซึ่งเป็นโครงการซอฟต์แวร์แรกที่อิมพลีเมนตร์การทำงานของโปรโตคอล NTP และมีประวัติการพัฒนายาวนานมากว่า 25 ปี การตรวจสอบด้านความปลอดภัยจึงมีการตรวจพบช่องโหว่กว่า 12 รายการ ( 1 Critical, 2 High, 1 Medium และ 8 Low)

ในขณะเดียวกันโครงการ NTPSec ที่มีการแยกพัฒนาต่อจาก ntpd เพื่อลดความซับซ้อนและแก้ไขปัญหาด้านความปลอดภัยถูกตรวจพบว่ามีช่องโหว่ 7 ช่องโหว่ (3 High, 1 Medium และ 3 Low ) เมื่อเปรียบเทียบกับความก้าวหน้าของโครงการ NTPsec ซึ่งในเวลานี้ยังไม่มีการปล่อยเวอร์ชันเต็ม (1.0) ออกมา NTPSec ยังต้องมีการพัฒนาอีกพอสมควรเพื่อให้สามารถปล่อยซอฟต์แวร์ในรุ่นที่มีความสมบูรณ์มากที่สุดออกมาได้

สำหรับโครงการ Chrony ซึ่งเป็นโครงการที่ไม่ได้มีการพัฒนาต่อมาจาก ntpd เดิมนั้น มีเพียง 2 ช่องโหว่ที่ถูกตรวจพบ โดยทั้งสองช่องโหว่นั้นมีความรุนแรงอยู่ในระดับต่ำ (Low) รายงานจาก Cure53 ยังระบุเพิ่มเติมว่า Chrony เป็นซอฟต์แวร์ที่แข็งแกร่งมากและยังแสดงให้เห็นว่านักพัฒนามีการคำนึงถึงเรื่องความปลอดภัยอยู่ตลอด ซึ่งโดยสรุปแล้ว Chrony เป็นซอฟต์แวร์ที่สมควรได้รับความน่าเชื่อถือในการใช้งาน

ข้อมูลการตรวจสอบพร้อมทั้งรายงานของ Cure53 ฉบับเต็มนั้นสามารถตรวจสอบได้จากแหล่งที่มา

ที่มา : Coreinfrastructure

It took DEF CON hackers minutes to pwn these US voting machines

ในปีนี้ที่งาน DEF CON hacking meeting ในลาสเวกัสมีการนำกล่องสำหรับลงคะแนนเสียงในการเลือกตั้งจำนวน 30 กล่องซึ่งมีการใช้งานครั้งล่าสุดในการเลือกตั้งประธานาธิบดีสหรัฐฯ มาทำการทดสอบด้านความปลอดภัย

ภายในเวลาไม่ถึง 90 นาทีจุดอ่อนแรกในระบบก็เริ่มปรากฏขึ้นซึ่งเผยให้เห็นถึงระดับความปลอดภัยที่น้อยมาก มีการใช้ซอฟต์แวร์ที่ล้าสมัยและเต็มไปด้วยช่องโหว่ อาทิ OpenSSL, Windows XP และ CE รุ่นที่ไม่ได้รับการอัพเดต อีกทั้งยังมีพอร์ตทางกายภาพที่อาจใช้ในการติดตั้งซอฟต์แวร์ที่เป็นอันตรายเพื่อแทรกแซงผลคะแนนเลือกตั้ง การแก้ปัญหาด้วยการมีคนเฝ้าระวังที่จุดเลือกตั้งก็ไม่ได้ช่วยลดความเสี่ยง เพราะช่องโหว่อีกจุดหนึ่งนั้นสามารถทำการเจาะระบบกล่องสำหรับลงคะแนนเสียงในการเลือกตั้งผ่านสัญญาณ Wifi ได้ นักวิจัยด้านความปลอดภัย Caross Schurmann ยังแสดงการใช้ช่องโหว่รหัส MS03-026 ใน Windows XPเพื่อเข้าถึงเครื่องจากแล็ปท็อปของเขาโดยใช้ RDP (Remote Desktop Connection)

นอกจากนี้เครื่องเลือกตั้งไม่สามารถลบข้อมูลผู้ลงคะแนนได้อย่างสมบูรณ์ ยังมีเร็กคอร์ดส่วนตัวของผู้มีสิทธิเลือกตั้งประมาณ 650,000 รายค้างอยู่ในเครื่อง และแฮกเกอร์ยังสามารถหารหัสผ่านสำหรับผู้ดูแลระบบผ่านทาง Google ด้วย

ที่มา : theregister