ผู้ใช้ iOS พึงระวังการหลอกล่อให้ติดตั้งมัลแวร์ ซึ่งมันอาจอาศัยช่องโหว่ที่ชื่อ Masque Attack และติดตั้งตัวเองแบบเนียนๆ (ทำได้ทั้งวิธีการผ่านช่องทาง USB และการเชื่อมต่อแบบไร้สาย) เพื่อทำการสูบเอาทุกสิ่งทุกอย่างใน iPhone ไปให้ผู้ไม่หวังดีได้
จากรายงานของบริษัทวิจัยด้านความปลอดภัย FireEye ระบุว่า iOS มีช่องโหว่อันหนึ่งที่หากมีแอพไม่พึงประสงค์ถูกติดตั้งลงใน iPhone (หรือ iPad) มันสามารถอาศัยจุดบอดนี้ทำการปลอมตัวเป็นแอพตัวอื่น และติดตั้งตัวเองแทนที่แอพแท้นั้นเพื่อทำการสูบข้อมูลส่วนบุคคลของผู้ใช้ไป (มีข้อยกเว้นเฉพาะแอพที่ถูกติดตั้งมาในอุปกรณ์โดย Apple เอง ที่มัลแวร์ตัวนี้ไม่สามารถปลอมตัวไปแทนที่ได้)
FireEye ได้สร้างวิดีโอสาธิตความเป็นไปได้ในการใช้ช่องโหว่ดังกล่าวซึ่งถูกตั้งชื่อว่า Masque Attack เป็นช่องทางในการแทรกซึมเข้าไปล้วงข้อมูลของผู้ใช้จาก iPhone ในวิดีโอดังกล่าวแสดงให้เห็นข้อความ SMS หลอกล่อผู้ใช้ให้ดาวน์โหลดเกม Flappy Bird ภาคใหม่มาติดตั้ง ซึ่งเมื่อผู้ใช้กดลิงก์ใน SMS นั้นแล้ว มันจะพาเขาไปสู่หน้าเว็บและเจอกับข้อความคำถามให้ผู้ใช้ยืนยันว่าต้องการติดตั้ง Flappy Bird ภาคใหม่หรือไม่ หากแต่ทว่าเมื่อผู้ใช้เลือกยืนยันการติดตั้งแอพแล้ว สิ่งที่มันติดตั้งกลับกลายเป็นแอพ Gmail ปลอมที่มาแทนที่แอพ Gmail ของแท้ใน iPhone โดยที่ผู้ใช้อาจไม่รู้ตัว และแน่นอนว่า iPhone เองก็ไม่รู้ว่าตอนนี้มีแอพไม่พึงประสงค์มาแอบแฝงในเครื่องแล้ว
แอพดังกล่าวที่มาทำเนียนเป็น Gmail จะสามารถรับเอาข้อมูลของผู้ใช้ทั้งหมดที่เชื่อมโยงกับแอพ Gmail แท้ และแน่นอนว่ามันอาจเดินหน้าขุดควานหาข้อมูลอื่นๆ ของผู้ใช้จาก iPhone ได้อีก ทั้งนี้การปิดอุปกรณ์แล้วเปิดใหม่ก็ไม่อาจหยุดการทำงานของมัลแวร์นี้ได้แต่อย่างใด
การที่มัลแวร์สามารถติดตั้งตัวเองแทนที่แอพตัวอื่นในอุปกรณ์ได้นั้นเป็นการอาศัยความสามารถของฟังก์ชันใน iOS ที่ถูกออกแบบมาเพื่อการใช้งานในองค์กร ซึ่งฝ่ายไอทีขององค์กรสามารถใช้ฟังก์ชันนี้ในการติดตั้งและอัพเดตแอพขององค์กรเองสู่เครื่อง iPhone หลายเครื่องของพนักงานได้อย่างสะดวกโดยไม่ต้องทำผ่าน App Store ของ Apple
ส่วนสาเหตุที่ iOS ไม่อาจตรวจพบมัลแวร์ที่ทำการปลอมตัวเป็นแอพตัวอื่นได้นั้น FireEye อธิบายว่าเป็นเพราะมัลแวร์ดังกล่าวใช้ "bundle identifiers" (หมายถึงข้อมูลสตริงที่อุปกรณ์ใช้เพื่อยืนยันตัวแอพ โดยแอพแต่ละตัวก็จะมี bundle identifiers ที่เป็นเอกลักษณ์ของตนเอง) เหมือนกับแอพแท้ที่โดนมันสวมรอย (กรณีในวิดีโอสาธิตนี้ มัลแวร์ใช้ bundle identifiers ชุดเดียวกันกับแอพ Gmail ของแท้)
FireEye พบว่าจุดบอด Masque Attack นี้มีใน iOS หลากหลายรุ่นทั้ง 7.1.1, 7.1.2, 8.0, 8.1 และ 8.1.1 beta ที่เพิ่งปล่อยมาล่าสุด และพบได้ทั้งในอุปกรณ์ที่ผ่านและไม่ผ่านการ jailbreak ซึ่ง FireEye ก็ได้แจ้งเตือน Apple ให้รู้ตัวเรื่องนี้มาตั้งแต่ปลายเดือนกรกฎาคมที่ผ่านมา แต่เนื่องจากการไร้ซึ่งปฏิกิริยาใดๆ ของ Apple กระทั่งเมื่อสัปดาห์ที่แล้วมีการเผยแพร่ข่าวการพบมัลแวร์ "WireLurker" ที่สามารถบุกเข้าสู่อุปกรณ์ได้ทาง USB และอาศัยใช้ช่องทาง Masque Attack ในการสร้างความเสียหาย จึงทำให้ FireEye ตัดสินใจนำเรื่องนี้ออกมาตีแผ่ต่อสาธารณะในที่สุด
แม้ว่าจนถึงขณะนี้ Apple จะยังคงรูดซิปปากเงียบกริบไม่ชี้แจงการแก้ปัญหาเรื่องนี้แต่อย่างใด ทาง FireEye ก็ได้ให้คำแนะนำที่ผู้ใช้อุปกรณ์ iOS สามารถปฏิบัติตามได้ง่ายๆ ว่าห้ามติดตั้งแอพจากแหล่งที่มาอันไม่น่าไว้ใจ (ซึ่งหมายถึงที่ใดก็ตามที่ไม่ใช่ App Store ของ Apple หรือแหล่งดาวน์โหลดแอพขององค์กรหน่วยงานของผู้ใช้เอง)
ป.ล. ไม่รู้ข่าวนี้จะทำให้ฝ่ายไอทีของ Home Depot ต้องสั่งซื้อคอมพิวเตอร์กับโทรศัพท์เพิ่มอีกหรือไม่
ที่มา - FireEye via The Next Web
Comments
ยังไง iOS, Mac OS X ปลอดภัยกว่า Windows ที่ปล่อยให้มีรูรั่วอยู่แล้ววว -- Home Depot ไม่ได้กล่าวเอาไว้
แค่มนุษย์คนนึงที่อยากรู้เกี่ยวกับวงการไอที
หนีเสือปะจรเข้...
เผลอ ๆ ฝ่ายไอทีคงต้องลงทุนสร้าง OS ขึ้นมาใหม่เลยทีเดียว
แปลก ... iOS ไม่เหมือน Android การติดตั้ง App ใน iOS สำหรับ consumer ต้องผ่าน iTune App Store เท่านั้น ไม่สามารถติดตั้งโดยการ download จาก Web site ได้ จะกระทบก็เฉพาะพวกที่ใช้ขององค์กร ซึ่งการติดตั้งก็ต้องผ่านหน่วยงาน IT ขององค์กรเท่านั้น ถ้าจะติด ก็พวก IT นั่นแหละ
iOS สามารถติดตั้งแอปนอก App Store โดยการดาวน์โหลดจากเว็บไซต์ได้ครับ รายละเอียดก็ตามในข่าวและในคลิปนั่นแหละครับ ผู้ใช้ทั่วไปก็โดนได้หมด
หมายถึงพวก enterprise dev license ถึงสามารถทำ app มี key ทีให้โหลดจากภายนอกป่าวครับ? คือ ถ้าเป็น key license dev ปกติทำ ผมว่าไม่น่าจะได้
Confirm ว่าผู้ใช้ทั่วไปทำไม่ได้ครับ ต้องเป็น Enterprise/adhoc ถึงจะทำได้ ช่วงนี้จะมีข่าวโจมตี iPhone ที่เกินจริงเยอะเพราะขายดีเกินจนคู่แข่งเริ่มใช้วิธีสกปรกโจมตีรุนแรงมากขึ้น อย่างเรื่อง iPhone 6 Plus รุ่น 128 GB ที่ติด boot loop ที่บอกว่าเกิดจาก hardware มีต้นเรื่องมาจากแหล่งข่าวในเกาหลี นั่นก็ไม่เป็นความจริง สุดท้ายแล้วพบว่าต้นตอข่าวเป็นบริษัทที่มีความสัมพันธ์กับบริษัทมือถือเกาหลีค่ายหนึ่ง นี่ก็ต้องการโจมตีตลาด Enterprise ของ Apple ที่กำลังเริ่มมาแรง
ผู้ใช้ทั่วไปสามารถติดตั้งแอปผ่านวิธี adhoc ได้โดยไม่ต้องทำอะไรเพิ่มเลยครับ แต่เข้าเว็บแล้วกด install
จริงๆแล้วปัญหานี้มันไม่ใช่เรื่องใหม่ด้วยซ้ำครับ เพราะมีคนพูดเรื่องนี้ในงาน Blackhat ตั้งแต่ปีที่แล้ว และมัลแวร์ WireLurker ก็ใช้วิธีเดียวกันนี้ในการโจมตีอยู่แล้ว
ข่าวนี้มันสามารถ proof ได้ครับว่าจริงหรือไม่จริง ไม่ใช่จะเหมารวมว่าข่าวอะไรที่เป็นผลเสียต่อ Apple จะเป็นข่าวโจมตีไปซะทั้งหมด
ผู้ใช้ทั่วไปติดตั้งได้ครับถ้าทาง dev เค้ามี enterprise license ประเด็นนี้คือ apple จะตรวจสอบหรือมีมาตรการอย่างไรกับบริษัทที่ได้รับ license นี้น่ะครับ ส่วนผุ้ใช้ทั่วไปผมว่าก็เลี่ยงอย่าลงแอพนอก apple store นะครับ
Boot loop นี่ ไม่จริงหรอครับ ?
iPad ผมเวลาเข้าเว็ป บางเว็ป มันจะพยายาม รีไดเรคไปยังเวปโหลด app อะไรซักอย่างแล้ว iPad ก็พยายาม เด้งไปในหน้า iTune รู้สึกไม่ค่อยปลอดภัยไงไม่รู้
เท่าที่เคยเจอมันเป็นเว็บย่อ url ครับ
ผมว่าถ้าเด้งไปหน้า iTunes ก็ยังรู้สึกปลอดภัยอยู่นะครับ
เมื่อคืนผมใช้ iPad เข้าเว็บ ก็โดน Redirect ไปเว็บที่หลอกให้ติดตั้งแอปตามวิธีแบบในข่าวนี้เลยแหละครับ (เข้าใจว่ามันมี Ads บางตัว Redirect ไป) เคสนี้ถ้า Apple ไม่รีบแก้ ผู้ใช้ทั่วไปคงโดนกันไม่ใช่น้อย เพราะคงมีหลายคนที่เปิดเว็บมาแล้วพอเห็นปุ่มให้กด Install ก็ไม่คิดอะไร กด Yes ไปเลย
ยังมาในลักษณะสแปมเพื่อหลอกให้ผู้ใช้งานกดลิงค์อยู่ สู้ดีแทคไม่ได้ ผมนอนอยู่ดีๆ มีข้อความเด้งขอบคุณที่สมัครใช้บริการ โดนไปวันละ 6 บาท ยกเลิกก็ไม่ได้ ติดต่อดีแทคก็บอกต้องติดต่อผู้ให้บริการเอง เซ็งสุดๆ
DTAC จะจัดการอย่างไรกับข้อความที่ถูกส่งเข้ามือถือลูกค้าแล้วคิดตังค์ด้วย
โหดร้าย
Coder | Designer | Thinker | Blogger
ในกรณีนี้ก็โดนกันถ้วนหน้าครับ ถ้ากดโหลดหล่ะนะ เล่นเลียนแบบ bundle identifiers กันเลยนินา
ยังไงก็ยังปลอดภัยกว่าแอนดรอย์ปะ ที่แอพที่มีมัลแวร์อยู่บน Play Store ได้อย่างสบายๆ
ทั่วไปอยู่ไม่ใด้นะครับ มี Bouncer จัดการอยู่
ที่โดนมาตลอดคือหลอกให้ติดตั้ง app นอก store + ปิดระบบตรวจสอบ app อันตราย
samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo
ของ android ต้องเข้า setting ของเครื่องเพื่อไปเปิดให้ลงแอพจากนอก store ได้ก่อนครับ
ไม่ว่าจะอะไร ถ้าไม่รอบคอบก็โดนหมดแหละครับ
ไม่เหมือนเมื่อก่อนที่กล้าพูดได้ว่าแมคปลอดภัยได้เต็มปากอีกแล้ว
ยิ่งส่วนแบ่งตลาดเยอะ ก็ยิ่งตกเป็นเป้า
และก็เป็นความจริงที่ ไม่มีระบบไหนปลอดภัยที่สุด
ทีงี้ก็ขึ้นอยู่กับฝ่ายผู้ให้บริการ ว่าจะแก้ไข ป้องกัน อุดรอยรั่วอะไรได้ดี ได้เร็วขนาดไหน
ผมว่าแอปเปิ้ลอาจจะเป็นฝ่ายเสียเปรียบด้วยซ้ำ ที่ประสพการณ์ด้านนี้น้อยกว่า
ผมว่า windows & android user คงไม่ภูมิใจที่มีประสบการณ์มากกว่าหรอกนะครับ... หรือผมเข้าใจผิด
มัลแวร์ ก็แบ่งๆ กันมีก็ได้ครับ
ถ้าไม่ได้ใช้แอพ gmail ก็จะไม่เจอมัลแวร์ตัวนี้ใช่ไหมครับ
จะแปลกใจอีกทีก็ตอนที่ gmail โผล่มา
gmail ในข่าวนี้เป็นแค่ตัวอย่างเฉย ๆ ครับ แอพเป็นแอพอะไรก็ได้ครับ แล้วแต่ hacker จะเลือก ขอแค่ไม่ใช่แอพที่ติดมากับระบบ (พวก safari, contact, phone อะไรพวกนี้)
Jusci - Google Plus - Twitter