เตือน ผู้ใช้อาจเสียค่าโทรโดยไม่รู้ตัวเมื่อคลิกเว็บลิงก์บนแอพบนไอโฟนที่สั่งโทรออกอัตโนมัติ

By: nuntawat
WriterAndroidWindowsIn Love
on 25 August 2014 - 11:27 Tags:
Topics: 
Security
Mobile App
iPhone
Node Thumbnail

Andrei Neculaesei นักพัฒนาของผู้ให้บริการสตรีมมิ่งแห่งหนึ่งในเดนมาร์ก เปิดเผยว่าแอพบนไอโฟนอาจทำให้ผู้ใช้เสียค่าโทรได้โดยไม่รู้ตัว

Neculaesei อธิบายว่า โดยปกติเมื่อผู้ใช้คลิกเบอร์โทรศัพท์ที่ถูกระบุในรูป tel URI บนหน้าเว็บบนเบราว์เซอร์ Safari บนไอโฟนจะมีป็อบอัพถามผู้ใช้ว่าต้องการโทรออกหรือไม่ แต่แอพบนไอโฟนอาจไม่แจ้งเตือนผู้ใช้ก่อนถึงแม้ว่าแอพเหล่านั้นจะสามารถถูกพัฒนาให้แจ้งเตือนผู้ใช้ได้ก็ตาม ดังนั้นหากมีใครก็ตาม (อาทิ คนที่ต้องการหารายได้จากเบอร์โทรที่ผู้โทรต้องจ่ายในอัตราพิเศษ) ทำหน้าเว็บที่มีจาวาสคริปเพื่อสั่งให้แอพโทรออกได้ และส่งลิงก์หน้าเว็บนั้นผ่านแอพที่ไม่ได้จัดการ tel URI ให้ดี เมื่อผู้ใช้กดลิงก์ข้างต้นไอโฟนก็จะโทรออกทันที (ดูรายละเอียดเพิ่มเติมได้จาก Algorithm.dk)

เขาทดสอบแอพชื่อดังอย่าง Apple FaceTime, Facebook Messenger, Gmail และ Google+ และพบว่าแอพเหล่านี้โทรออกทันทีเมื่อเข้าไปหน้าเว็บที่เขาสร้างขึ้นซึ่งมีสคริปสั่งให้แอพโทรออกเมื่อผู้ใช้เรียกดูหน้าเว็บ โดยที่แอพไม่แจ้งเตือนผู้ใช้แต่อย่างใด

Neculaesei ได้นำเสนอประเด็นนี้ในงานวิจัยของเขา ซึ่งถูกนำเสนอในงานสัมมนาด้านความปลอดภัยแห่งหนึ่งเมื่อต้นเดือนนี้ ในงานดังกล่าวยังมีที่ปรึกษาด้านความปลอดภัยสารสนเทศ Guillaume K. Ross นำเสนอด้วยว่า URI สามารถถูกใช้เพื่อทำให้ข้อมูลของผู้ใช้สูญหาย หรือเพื่อบุกรุกความเป็นส่วนตัวของผู้ใช้ได้ ดูคลิปนำเสนอได้จาก IronGeek

ที่มา: PCWorld

Get latest news from Blognone

Comments

By: GoblinKing
Windows PhoneWindows
on 25 August 2014 - 13:41 #734748
GoblinKing's picture

ที่บ้านเราเมื่อเช้าเห็นมีข่าว SMS ที่ดักคนว่า "มีคดีความ" กับ "ส่งของแล้ว" และมี URL ให้เข้าไปดู พอเข้าไปดูจะโดนค่า SMS บานเบอะ แต่ในข่าวไม่ได้บอกว่าใช้ระบบปฏิบัติการอะไร ก็ระวังกันไว้ด้วยนะฮะ

By: nrml
ContributorIn Love
on 25 August 2014 - 14:02 #734754 Reply to:734748
nrml's picture

น่าจะเป็น "รับทราบ" นะครับ

By: hisoft
ContributorWindows PhoneWindows
on 25 August 2014 - 14:21 #734759 Reply to:734754
hisoft's picture

เพื่อนผมเจอ "มีคดีความ" อะไรนี่แหละครับ

By: alph501
iPhoneWindowsIn Love
on 25 August 2014 - 14:10 #734755 Reply to:734748
alph501's picture

เห็นภาพข่าวเขาใช้ iPhone นะครับ

By: holyddog on 25 August 2014 - 18:12 #734796 Reply to:734748
holyddog's picture

กรณีของไทยผมว่าน่าจะเป็น "แจ้ง.apk" ที่เป็นมัลแวร์มากกว่า http://droidsans.com/fraud-apk-dropbox คนโดนน่าจะบอกไม่หมด จริงๆแล้วคงไปติดตั้ง apk แบบไม่รู้ตัวมากกว่า

By: HudchewMan
ContributorAndroidWindowsIn Love
on 25 August 2014 - 21:41 #734861
HudchewMan's picture

จุดที่งงๆ ก็คือ

เบราว์เซอร์ Safari บนไอโฟนจะมีป็อบอัพถามผู้ใช้ว่าต้องการโทรออกหรือไม่ แต่แอพบนไอโฟน Apple FaceTime, Facebook Messenger, Gmail และ Google+ โทรออกทันทีโดยที่แอพไม่แจ้งเตือนผู้ใช้แต่อย่างใด

แอปพวกนี้ พอคลิกลิงก์ มันจะไปเปิดบราวเซอร์ (ถ้า iPhone ก็คือ Safari) ซึ่งมันก็จะถามไม่ใช่เหรอ?

ผมเข้าไปอ่านที่มา แล้วลองทำตามดู (บนมือถือแอนดรอยด์)
พบว่าลองแปะลิงก์ไว้ใน Google+ หรือ Gmail มันก็จะออกมาเปิดด้วยบราวเซอร์ ซึ่งมันก็จะถามก่อนโทร

แต่ยังไม่ได้ลองกับ iPhone เพราะไม่มีให้ลอง ^^'a

~ HudchewMan's Station & @HudchewMan~

By: nuntawat
WriterAndroidWindowsIn Love
on 26 August 2014 - 01:21 #734923 Reply to:734861
nuntawat's picture

ดังนั้นหากมีใครก็ตาม (อาทิ คนที่ต้องการหารายได้จากเบอร์โทรที่ผู้โทรต้องจ่ายในอัตราพิเศษ) ทำหน้าเว็บที่มีจาวาสคริปเพื่อสั่งให้แอพโทรออกได้ และส่งลิงก์หน้าเว็บนั้นผ่านแอพที่ไม่ได้จัดการ tel URI ให้ดี เมื่อผู้ใช้กดลิงก์ข้างต้นไอโฟนก็จะโทรออกทันที (ดูรายละเอียดเพิ่มเติมได้จาก Algorithm.dk)

By: HudchewMan
ContributorAndroidWindowsIn Love
on 26 August 2014 - 13:04 #735008 Reply to:734923
HudchewMan's picture

เมื่อผู้ใช้กดลิงก์ข้างต้นไอโฟนก็จะโทรออกทันที

นี่แหละครับที่ข้องใจ เพราะว่าผมลองทดสอบด้วยการเขียนหน้าเว็บฝังสคริปต์ตามข่าวต้นทางแล้ว

พอจิ้มลิงก์จาก Facebook, Facebook Messenger, Gmail, Google+ มันก็จะเด้งเข้าไปหน้าเว็บแล้วก็จะมีหน้าต่างรอให้เรากดโทร ไม่ได้โทรอัตโนมัติ

แต่เพิ่งได้ลองกับ iPhone 4 ของน้องสาวแค่เครื่องเดียว ยังกำลังหา iPhone รุ่นอื่นมาทดสอบอยู่ครับ :)

ตอนนี้ที่ทดสอบบน Android, BB, Lumia ทุกเครื่องจะขึ้นหน้าต่างโทร รอให้เรากดปุ่มโทรออก ไม่ได้โทรอัตโนมัติ

:)

~ HudchewMan's Station & @HudchewMan~

By: nuntawat
WriterAndroidWindowsIn Love
on 26 August 2014 - 15:06 #735046 Reply to:735008
nuntawat's picture

ผมไม่เคยใช้ไอโฟนเลย (เพราะแพง) เลยไม่รู้จะลองยังไงนะครับ :)

By: hisoft
ContributorWindows PhoneWindows
on 26 August 2014 - 16:51 #735102 Reply to:735008
hisoft's picture

ลองทำตามนี้ดูหรือยังครับ? (ผมยังไม่ได้ลองนะ) เห็นมีภาพเคลื่อนไหวให้ด้วย

http://algorithm.dk/posts/rtfm-0day-in-ios-apps-g-gmail-fb-messenger-etc

ในนั้นจะมีสองลิงก์ครับ อันแรกคือใส่เบอร์โทรไว้

http://box.algorithm.dk/ios/01.html

อันที่สอง มีการใส่ event เมาส์คลิกปลอมลงไปด้วย ซึ่งในภาพที่เค้าลอง มันโทรออกให้เลย (ผมเปิดบนคอมมันก็พยายามเปิดลิงก์เลยเช่นกัน

คำเตือน ลิงก์นี้มีการส่ง event คลิกเมาส์อัตโนมัติกับลิงก์โทรออก (ตอนที่ผมกดดูนี่เป็นหมายเลข 0000 แต่อาจมีผู้ไม่หวังดีเข้าแทรกแซงหลังจากนี้ได้) โปรดลองด้วยความระมัดระวัง
http://box.algorithm.dk/ios/02.html

By: HudchewMan
ContributorAndroidWindowsIn Love
on 27 August 2014 - 09:30 #735294 Reply to:735102
HudchewMan's picture

นี่แหละครับ ที่ผมทดลองทำตามดู แล้วก็ยังเขียนขึ้นเว็บตัวเองเพื่อทดสอบเลยครับ :)

ในข่าวเนี่ย พูดถึงกรณีว่า เวลาเราส่งลิงก์ผ่าน FB Messenger, Gmail, G+ มันไม่ได้มีการตรวจสอบเวลาคลิก จะทำให้โทรออกไปโดยอัตโนมัติ

ผมทดสอบดู จากตัวอย่างแรก มันจะเปิดบราวเซอร์เพื่อเปิดหน้าเว็บขึ้นมา พอเราคลิกลิงก์มันก็จะมีหน้าต่างโทรออก

ตัวอย่างสอง พอคลิกลิงก์ ก็ยังคงเปิดบราวเซอร์ แล้วก็จะมีหน้าต่างรอให้เรากดยืนยันการโทรออก

เท่าที่ทดสอบมา iPhone 4, Android, BB, WP จากตัวอย่างที่สอง ไม่มีเครื่องไหนที่มันโทรออกอัตโนมัติเลยครับ มันจะขึ้นหน้าต่างเบอร์โทรมาให้เรากดยืนยันเพื่อโทรออก

:)

~ HudchewMan's Station & @HudchewMan~

By: hisoft
ContributorWindows PhoneWindows
on 27 August 2014 - 21:58 #735575 Reply to:735294
hisoft's picture

งั้นผมก็ไม่ทราบแล้วครับ ^^ ไม่รู้ว่าแก้ไปแล้วหรือจำกัด OS ใหม่ๆ หรือเปล่า (iPhone 4 นี่ได้รุ่นใหม่ไหมครับ?)

By: iammeng
ContributoriPhoneAndroidWindows
on 26 August 2014 - 10:50 #734971
iammeng's picture

Cross Site Scripting (XSS)
แต่เปลี่ยนจากส่งข้อมูลผู้ใช้ให้ hacker ไปเป็น
การโทรออกไปเบอร์ปลายทางที่ hacker ต้องการ