Apple ได้แก้ไขช่องโหว่สองรายการที่อาจส่งผลกระทบกับเจ้าของ iPhone และ iPad ที่ให้ความสำคัญกับความเป็นส่วนตัว
ช่องโหว่แรก เป็นปัญหาที่เกี่ยวข้องกับฟีเจอร์การเข้าถึง VoiceOver ของ Apple ซึ่งอาจทำให้ iPhone หรือ iPad ออกเสียงรหัสผ่านที่สำคัญได้ ส่วนข้อผิดพลาดอีกรายการส่งผลกระทบกับข้อความเสียงใน iPhone รุ่นใหม่ ซึ่งอาจทำให้บันทึกเสียงผู้ใช้งานในช่วงเวลาสั้น ๆ ก่อนที่พวกเขาจะรู้ว่ากำลังถูกบันทึกเสียงอยู่
ระบบปฏิบัติการเวอร์ชันใหม่พร้อมใช้งานสำหรับทั้ง iOS และ iPadOS (18.0.1) ซึ่งได้แก้ไขช่องโหว่ด้วยการปรับปรุงการตรวจสอบ และการยืนยันตามลำดับ ผู้ใช้ควรอัปเดตอุปกรณ์ของตนเพื่อหลีกเลี่ยงความเสี่ยงที่อาจเกิดขึ้น
ตามที่ Michael Covington รองประธานฝ่าย portfolio strategy ของ Jamf ระบุว่า "ข่าวดีคือช่องโหว่ทั้งสองรายการนั้น ไม่เกี่ยวข้องกับการโจมตี แต่เป็นช่องโหว่ที่เกิดขึ้นจากการใช้งานอุปกรณ์ และความเป็นส่วนตัวของผู้ใช้"
อย่างไรก็ตาม สำหรับธุรกิจที่ใช้มือถือในการทำงาน ขอแนะนำให้ให้ความสำคัญกับช่องโหว่ทั้งสองรายการนี้ และดำเนินการที่เหมาะสมเพื่ออัปเดตอุปกรณ์ให้เร็วที่สุดเท่าที่จะเป็นไปได้
ช่องโหว่ #1: การอ่านออกเสียงรหัสผ่าน
ช่องโหว่แรกเกี่ยวข้องกับ VoiceOver ซึ่งเป็นฟีเจอร์การเข้าถึงที่ให้คำบรรยายเสียงแก่ผู้ใช้ที่มีความบกพร่องทางการมองเห็นเกี่ยวกับองค์ประกอบต่าง ๆ บนหน้าจอ เช่น ข้อความ, ปุ่ม, รูปภาพ และอื่น ๆ นอกจากนี้ VoiceOver ยังอนุญาตให้ผู้ใช้สามารถนำทางอุปกรณ์ของตนด้วยคำสั่งเสียง และท่าทางต่าง ๆ ได้อีกด้วย
อย่างไรก็ตาม อาจไม่ใช่ทุกอย่างในอุปกรณ์ที่จะต้องอ่านออกเสียง เช่น รหัสผ่าน เมื่อเดือนที่แล้ว ในส่วนของ iOS และ iPadOS 18 แอปพลิเคชันใหม่ชื่อ 'Passwords' ได้ถูกเปิดตัวโดย Apple ซึ่งช่วยให้ผู้ใช้งานสามารถเก็บ และจัดการข้อมูลการเข้าสู่ระบบได้อย่างง่ายดาย โดย CVE-2024-44204 เป็นช่องโหว่ด้าน logic ที่อาจทำให้ VoiceOver อ่านรหัสผ่านของผู้ใช้งานออกมาได้
VoiceOver ปิดใช้งานโดยค่าเริ่มต้น ซึ่งหมายความว่าผู้ใช้ iPhone เพียงบางกลุ่มเท่านั้นที่อาจได้รับผลกระทบ
Covington ระบุไว้ว่า "เหตุการณ์นี้ไม่ใช่ครั้งแรกที่พบการใช้ accessibility ฟีเจอร์ในทางที่ผิด ตัวอย่างก่อนหน้านี้รวมถึงเทคโนโลยีอ่านหน้าจอที่ถูกใช้โดยแอปพลิเคชันที่ทำงานผิดปกติเพื่อดึงข้อมูลรายละเอียดบนหน้าจอ และขโมยข้อมูลจากอุปกรณ์ โชคดีที่ accessibility ฟีเจอร์ส่วนใหญ่ต้องผ่านการทดสอบด้านความปลอดภัย และความเป็นส่วนตัวอย่างเข้มงวด ดังนั้นเหตุการณ์เหล่านี้จึงไม่ค่อยเกิดขึ้นบ่อยนัก"
ช่องโหว่ #2: เริ่มต้นบันทึกเสียงก่อนเวลา
หากผู้ใช้ iPhone อยู่ระหว่างเดินทาง มีอะไรจะพูดมากมาย หรืออาจจะไม่อยากพิมพ์ พวกเขาอาจเลือกที่จะบันทึกข้อความเสียงใน iMessage แทนการพิมพ์ข้อความธรรมดา หลังจากที่พวกเขากดเครื่องหมายบวกที่ด้านซ้ายของกล่องข้อความ และเลือก "เสียง" อุปกรณ์จะแจ้งว่าเริ่มบันทึกโดยมีคลื่นเสียงสีแดงที่แสดงแทนกล่องข้อความ และมีจุดสีส้มเล็ก ๆ ที่ด้านบนของหน้าจอ
นักวิจัยด้านความปลอดภัยเพิ่งค้นพบว่าข้อความเสียงอาจบันทึกเสียงได้ไม่กี่วินาทีก่อนที่ผู้ใช้จะรู้ว่ามีการเปิดไมโครโฟนอยู่ โดยช่องโหว่ CVE-2024-44207 ส่งผลกระทบกับ iPhone 16 รุ่นใหม่ทั้งหมด
แม้ว่าจะดูเหมือนเป็นปัญหาที่เล็กน้อย แต่ Covington แสดงให้เห็นว่า "การขาดการเชื่อมต่อระหว่างฟังก์ชั่นของอุปกรณ์ และ visual indicators ที่เกี่ยวข้องนี้ เป็นสิ่งที่ทีมวิจัยภัยคุกคามของ Jamf ได้เชื่อมโยงกับเทคนิคการแฝงตัวที่ใช้โดยผู้ไม่หวังดีเพื่อรักษาการมีอยู่บนอุปกรณ์หลังจากการโจมตีสำเร็จ การแก้ไขช่องโหว่นี้ก่อนที่มันจะถูกนำไปใช้ในทางที่ผิดถือเป็นความสำเร็จครั้งใหญ่ของ Apple"
ทั้งนี้ช่องโหว่ VoiceOver และช่องโหว่การส่งข้อความเสียงยังไม่ได้รับการจัดอันดับในระบบการให้คะแนนช่องโหว่ทั่วไป (CVSS) ในขณะนี้ และยังไม่มีรายละเอียดเพิ่มเติมที่เผยแพร่ออกมาในเวลานี้
ที่มา : https://www.