นักวิจัยจาก Purdue University ได้มีการเผยแพร่ช่องโหว่บนโปรโตคอล 4G LTE ใหม่กว่า 10 รายการในงานวิจัยชื่อ "LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE" ส่งผลให้สามารถดักฟัง ค้นหาตำแหน่ง รวมไปถึงส่งข้อความแจ้งเตือนปลอมได้

Syed Rafiul Hussain หนึ่งในนักวิจัยของโครงการดังกล่าวได้ให้สัมภาษณ์ว่า แม้การโจมตีในบางเงื่อนไขนั้นเคยถูกค้นพบมาแล้ว แต่งานวิจัยชิ้นนี้ก็พยายามที่จะนำเสนอความเป็นไปได้ที่จะโจมตีในช่องโหว่ดังกล่าวว่ามีความเป็นไปได้ที่จะทำได้จริงสูง โดยมีการยินยันช่องโหว่กับผู้ให้บริการในอเมริกาแล้ว และจะมีการเผยแพร่โค้ด PoC หลังจากมีการแก้ปัญหาเรียบร้อยแล้วต่อไป

ที่มา : ZDNET

ช่องโหว่ Ring-Road บนโปรโตรคอลของกูเกิล "QUIC" เผยความยาวของรหัสผ่าน ยังไม่มีการพิสูจน์อย่างแน่ชัด
กลุ่มนักวิจัยจาก Purdue University ได้ออกมานำเสนอช่องโหว่หม่ที่ค้นพบบนโปรโตคอล QUIC ซึ่งเป็นโปรโตคอลที่ถูกพัฒนาโดยกูเกิลและมีการใช้งานอยู่ Chrome และบริการของกูเกิลหลายบริการซึ่งส่งผลให้ผู้โจมตีทราบความยาวของข้อมูลที่เป็นความลับ เช่น รหัสผ่าน ของผู้ใช้งานเมื่อมีการส่งแบบเข้ารหัสได้
อย่างไรก็ตามช่องโหว่นี้ยังคงเป็นที่เคลือบแคลงของหลายๆ คน อันเนื่องมาจากการกล่าวอ้างของผู้ค้นพบที่นำเสนอประเด็นในเรื่องของ "การรั่วไหลของความยาวของรหัสผ่าน" นำไปสู่ "การข้ามผ่านกระบวนการพิสูจน์ตัวตนได้" อีกทั้งยังขาดหลักฐานที่พิสูจน์การมีอยู่ของช่องโหว่อย่างแน่ชัด
นอกเหนือจากนั้นแล้วคำแนะนำจากทีมนักวิจัยของ Purdue University ให้ทำการปิดการใช้งานโปรโตคอล QUIC ก็ไม่ได้ช่วยในการแก้ปัญหาทั้งหมด เนื่องจากบนโปโตรคอล TLS ยังมีช่องโหว่ HTTPS Bicycle Attack ที่ได้ผลลัพธ์ออกมาเป็นความยาว
สุดท้ายแล้วก็คงจะต้องติดตามกันต่อไปว่าแท้จริงแล้วช่องโหว่นี้ถูกค้นพบได้อย่างไร และมีผลที่แท้จริงและเชื่อถือเป็นอย่างไร
ที่มา: ringroadbug