นักวิจัยจากบริษัท Trustlook ผู้ผลิตซอฟต์แวร์แอนตี้ไวรัส ได้ค้นพบช่องโหว่ Remote Code Execution ในแอพ Bing บน Android โดยช่องโหว่นี้แฮ็กเกอร์สามารถสั่งติดตั้งแอพอะไรก็ได้ลงในเครื่องของเหยื่อ ดักฟังโทรศัพท์ หรือควบคุมเครื่องของเหยื่อให้ทำงานอื่นๆ ตามที่แฮ็กเกอร์ต้องการ (คลิปตัวอย่างการโจมตีดูได้ท้ายข่าว)
ทางนักวิจัยยังไม่ได้เปิดเผยรายละเอียดวิธีการโจมตีผ่านช่องโหว่นี้ บอกคร่าวๆ เพียงว่าเป็นการปลอม DNS response ซึ่งหากมีแฮ็กเกอร์ใช้วิธีนี้โจมตีในเครือข่าย Wi-Fi สาธารณะ (เช่น ตามร้านอาหาร) ก็จะสามารถควบคุมเครื่องของเหยื่อที่เชื่อมต่อกับ Wi-Fi นั้นๆ ได้
คลิปตัวอย่างการโจมตี
Microsoft ได้แก้ไขช่องโหว่นี้แล้วในแอพ Bing เวอร์ชัน 4.2.1 โชคดีที่ Play Store ประเทศไทยยังไม่สามารถติดตั้งแอพนี้ได้จึงยังไม่น่าจะมีความเสียหายในประเทศไทยมาก แต่สำหรับใครที่ติดตั้งแอพนี้ไว้ในเครื่องก็ควรอัพเดตโดยด่วนครับ
Get latest news from Blognone
Follow @twitterapi
Comments
แก้แล้วครับ ขอบคุณครับ
อย่างนี้มันเป็นช่องโหว่ของ Bing เอง หรือของ Android กันแน่?
Bing ครับ Android แค่มีช่องทางให้ระบบสามารถทำได้เฉยๆ ซึ่งมันเป็นทั้งเรื่องดีและไม่ดีที่ Android มีช่องทางให้ทำอะไรได้เยอะแบบนี้
ดูจาก clip ผมเข้าใจว่าช่องโหว่นี้ต้อง root+ให้สิทธิ์ superuser(root) กับ Bing ก่อนถึงจะทำงาน(ติดตั้งแอพ)นะครับ
ส่วน DNS poisoning นี่คาดว่าน่าจะเป็นที่ Bing
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
กำลังคิดอยู่เหมือนกันว่า ถ้า root เครื่องไปแล้วจะบอกว่าเป็น ปัญหา security ของเครื่องได้ด้วยเหรอ
ผมว่ามันดูขี้โกงไปหน่อยนะที่ไม่มีการพูดถึงเรื่องต้องให้สิทธิ์ root กับ app Bing ก่อนเเลย
+1 เหมือนจงใจดิสเครดิตยังไงไม่รู้
นี่มันช่องโหว่ของ Microsoft นี่นา ทำไมลงเป็น android
คงไม่ได้ลงอยู่ดีมั้งแอพนี้ -__- ถ้าอยากใช้จัดก็ซื้อวินโด้โฟนไปละ
ให้สิทธิ์ root พร่ำเพรื่อไม่คิดก็อย่าไปว่าOS นะ
ก็เล่นโยนกุญแจไปหน้าบ้าน อย่าเหมาว่าโครงสร้างบ้านไม่ดีเลยมีโจรเข้าบ้านได้ง่าย