ช่องโหว่ตัวถอดรหัส MP4 ของแอนดรอยด์ไม่ได้จำกัดแค่ MMS เปิดผ่านเว็บหรือแอพก็ถูกโจมตีได้

By: lew
FounderJusci's WriterMEconomicsAndroid
on 1 August 2015 - 13:25 Tags:
Topics: 
Security
Android
Node Thumbnail

ช่องโหว่ Stagefright ที่ทำให้แฮกเกอร์โจมตีเครื่องได้เพียงแค่ส่ง MMS เข้าไปยังเครื่องของเหยื่อดูจะเลวร้ายกว่าที่คิดไว้ เมื่อทาง Trend Micro ออกมาเปิดเผยว่าช่องโหว่เดียวกันนี้สามารถเจาะได้ถึงสามช่องทาง คือ การเปิดไฟล์ MP4 ผ่านเว็บ, ผ่านแอพพลิเคชั่น, และผ่าน MMS

ด้วยช่องโหว่ที่โจมตีได้ง่ายเช่นนี้ และยังไม่มีแนวทางป้องกันตัวเองเหมือนช่องทาง MMS ที่ผู้ใช้ยังสามารถปิดเองได้ ทำให้ช่องโหว่นี้เลวร้ายกว่าที่คาดไว้

ตอนนี้ที่ทำได้คงต้องไปกดดันผู้ผลิตให้ออกแพตช์ครับ

ที่มา - Trend Micro

Get latest news from Blognone

Comments

By: McKay
ContributorAndroidWindowsIn Love
on 1 August 2015 - 13:27 #831389
McKay's picture

หนักมาก

Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)

By: tgst
ContributoriPhoneWindows PhoneWindows
on 1 August 2015 - 13:30 #831392
tgst's picture

ผู้ใช > ผู้ใช้

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 1 August 2015 - 13:47 #831403
Ford AntiTrust's picture

ช่องโหว่นี้แทบจะโยนมือถือ Android ทุกค่ายทิ้งได้เลย

นับวันยิ่งเห็นผลชัดว่าการออกแบบ update OS ของ Android ผิดพลาดตั้งแต่ต้น ช่องโหว่ Android ต้องถูกอุด แต่กลับต้องรอผู้ผลิตที่แพสินค้าไปแล้ว

By: put4558350
ContributorAndroidUbuntuWindows
on 1 August 2015 - 13:54 #831407 Reply to:831403
put4558350's picture

หรือ ... root แล้วลง custom rom

... ความจริงคือ apple ก็มีสินค้าที่แพไปแล้ว และไม่อุดเหมือนกัน

samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 1 August 2015 - 13:57 #831408 Reply to:831407
Ford AntiTrust's picture

ผมคิดถึงคนใช้ที่ทำอะไรพวก root หรือลง custom rom ไม่เป็นครับ

ส่วนการเลิกสนับสนนุน เป็นปรกติของ S/W อยู่แล้ว แต่ iPhone ณ ตอนนี้ iPhone 4s ยังติดตั้ง iOS 9 รุ่นล่าสุดได้อยู่เลย

By: put4558350
ContributorAndroidUbuntuWindows
on 1 August 2015 - 14:29 #831422 Reply to:831408
put4558350's picture

ช่วงนี้ผมเห็นบางร้านเริ่มรับลง custom rom แล้วนะครับ

ปล. s3 ผมหลังจากใด้ Jelly Bean ผมคิดว่าไม่มี update อีกแล้วเลยข้ามไปลง cm12 Lolipop

samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 1 August 2015 - 14:05 #831412 Reply to:831407

ดร๋อยที่ผมมีทุกตัวไม่มี custom rom ใช้งานอะสิครับและดร๋อยส่วนใหญ่แทบจะเป็นแบบนั้น

By: tgst
ContributoriPhoneWindows PhoneWindows
on 1 August 2015 - 14:05 #831414 Reply to:831407
tgst's picture

ซีพียูไม่ใช่ SD ก็หมดสิทธิ์ไปเกินครึ่งตัวละครับ

By: osmiumwo1f
ContributorWindows PhoneWindows
on 1 August 2015 - 14:13 #831419 Reply to:831407
osmiumwo1f's picture

ถึงจะ root และลง custom ROM ได้ แต่ Android บางรุ่นไม่มี custom ROM นะครับ

By: hisoft
ContributorWindows PhoneWindows
on 1 August 2015 - 14:13 #831418 Reply to:831403
hisoft's picture

เพิ่งอ่านเรื่องเหตุที่ทิ้ง Android ไปในบทความต่างประเทศอันนึง เหตุผลแบบนี้เลยครับ

นี่ขนาดพยายามจับหลายๆ อย่างใส่เข้า Google Play Service แล้วแต่มันก็ยังได้แค่นั้นจริงๆ

By: wichate
Android
on 1 August 2015 - 13:51 #831406

และที่ผมสงสัยมันก็เป็นจริง

By: Architec
ContributorWindows PhoneAndroidWindows
on 1 August 2015 - 14:24 #831421

จะกำเงินกลับไปซื้อ WP อีกรอบละกัน (ไม่น่าทิ้งมันเลยให้ตายดิ)

By: put4558350
ContributorAndroidUbuntuWindows
on 1 August 2015 - 14:30 #831423 Reply to:831421
put4558350's picture

ก็มีคนติดอยู่ที่ 7.8 นะครับ ...

samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 1 August 2015 - 17:57 #831468 Reply to:831423

ผมใช้8ตั้งแต่รุ่นแรกก็ได้ไป 10 นะครับไม่แพเหมือนดร๋อยที่พุ่งซื้อไป:D

By: Jaddngow
AndroidUbuntuWindows
on 1 August 2015 - 15:24 #831438
Jaddngow's picture

ร้ายแรงมาก Htc One M7 คงไม่มีออกมาอีกแล้วมั๊ง

By: ibeauty
iPhoneUbuntuWindows
on 1 August 2015 - 15:26 #831439
ibeauty's picture

เห็นแล้วเหนื่อยแทนจริงๆคะ

*เอิ่ม . . . สู้ๆน่ะคะ - -"

By: wichate
Android
on 1 August 2015 - 15:40 #831446

ก็พวกที่โดนขโมย Password OTP กันนี่อาจจะมาจาก bug นี้ก็ได้ งดใช้ internet banking บน android ไปได้เลย เสี่ยงมาก

By: NoppawanConan
ContributoriPhoneAndroidWindows
on 1 August 2015 - 17:06 #831462
NoppawanConan's picture

สบายใจที่ย้ายมา iPhone 6 ได้ระยะนึงแล้ว รู้สึกแฮปปี้กว่ามาก แม้จะตะกุกตะกักในการส่งไฟล์ก็ตาม

แค่มนุษย์คนนึงที่อยากรู้เกี่ยวกับวงการไอที

By: Dakenfuverymuch
iPhone
on 1 August 2015 - 18:25 #831475

ชอบโม้กันนักระบบเปิด เป็นไงล่ะ เปิดให้โจรซะเลย

และไม่รู้แบบนี้ถือว่าเปิดด้วยหรือเปล่าสำหรับรอมซัมซุง เล่นเอาผู้ใช้เหมารวมนึกว่าแอนดรอยด์ทุกยี่ห้อกากหมด

ปล.ถ้าติดคุกแล้วปลอดภัยแบบ ios ผมยอมครับ

By: McKay
ContributorAndroidWindowsIn Love
on 1 August 2015 - 18:32 #831478 Reply to:831475
McKay's picture

iOS jailbreak พวกเปิดเว็บก็เป็น exploit นี่ครับ? อันนี้เอาความมั่นใจมาจากไหนครับว่าระบบปิดปลอดภัย

ปัญหาของเรื่องนี้ไม่ใช่ปัญหาของระบบเปิดระบบปิดครับ แต่เป็นปัญหาของโมเดลการอัพเดทซอฟท์แวร์

Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)

By: Dakenfuverymuch
iPhone
on 1 August 2015 - 18:39 #831480 Reply to:831478

ขอบคุณครับ แต่สุดท้ายก็ต้องเปิดให้อัพกันเองแต่ละยี่ห้อ

ยังไงก็สู้ระบบ ios ไม่ได้อยู่ดี ปล่อยมารวดเดียว (ถ้าไม่มีบั๊กแก้จบในครั้งเดียว)

By: McKay
ContributorAndroidWindowsIn Love
on 1 August 2015 - 18:53 #831483 Reply to:831480
McKay's picture

อันนี้พูดถึงระบบเปิดระบบปิดหรือโมเดลการอัพเดทซอฟท์แวร์ครับ?

ถ้าพูดถึงระบบเปิดนี่ส่วนมากต้นนัำออกแพทแก้ภายใน 3 วันไม่ต้องรอรอบนะครับ เทียบกับ iOS ที่ Safari มีบัคมาให้ exploit ได้ทุกรุ่น แล้วกว่าจะออกอัพเดทแต่ละรุ่นก็ใช้เวลานานมากนี่ ผมว่าระบบปิดของ iOS ดูเด็กๆไปเลยครับ

Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)

By: hisoft
ContributorWindows PhoneWindows
on 1 August 2015 - 18:32 #831479 Reply to:831475
hisoft's picture

ซัมซุง???

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 1 August 2015 - 19:31 #831489 Reply to:831475

ต้องเข้าใจก่อนนะครับว่าซอฟท์แวร์ทุกตัวมีบัคได้หมดไม่ว่าจะระบบไหน และทุกระบบที่ยังมีคนพัฒนาต่อย่อมมีการแก้ไขได้ตลอด แต่ปัญหามันอยู่ที่โมเดลการพัฒนาที่ผิดพลาดของกูเกิลทำให้เกิดปัญหาใหญ่ถ้าจะโทษก็ต้องโทษกูเดกิลครับระบบเปิดไม่ผิด ระบบปิดก็ไม่ได้ดีกว่าครับเห็นได้จากธุรกิจซื้อขายช่องโหว่ครับ แต่ก็ต้องยอมรับว่า ด้วยความที่มันเปิดก็เลยถูกตรวจสอบช่องโหว่ได้ง่ายกว่ามาก

By: Jaddngow
AndroidUbuntuWindows
on 1 August 2015 - 21:21 #831498 Reply to:831489
Jaddngow's picture

เห็นด้วยครับ ถูกตรวจสอบช่องโหว่ได้ง่าย ถ้าอัพแพทชเองได้แบบ linux จะเป็นข้อดีมากๆ ช่วยกันดูช่วยกันซ่อม แต่นี่ลอยแพกัน80% ตายเลย

By: venus00tar
iPhoneAndroidUbuntu
on 1 August 2015 - 20:45 #831495
venus00tar's picture

ยังไม่เคยไว้ใจ android เลย ไม่ว่าจะ root หรือไม่

By: Sephanov
iPhoneUbuntu
on 1 August 2015 - 21:39 #831505
Sephanov's picture

เครื่องแพ ยังมีถ้วนทั่วนะครับ ลุงป้าๆใช้กันเยอะด้วย

By: Remma
AndroidWindows
on 1 August 2015 - 22:31 #831516
Remma's picture

ผมสงสัยช่องโหว่นี้มากนะว่าถ้าเจาะง่ายขนาดนั้น ป่านนี้ไม่เละกันหมดไปนานแล้วเหรอ

By: cartier
iPhoneAndroid
on 2 August 2015 - 00:13 #831537
cartier's picture

อันนี้น่าจะเป็นช่องโหว่ใหญ่​สุดตั้งแต่เปิดตัว Android​ มาเลย
Google​ ต้อง​รีบ​หาวิธี patch OS ใหม่ได้แล้ว ไม่งั้นรอวันล่มสลายอย่างเดียวจริงๆ หวัง​พึ่งผู้ผลิตก็คงลำบาก กว่าจะอัพเดทอะไรทีชาติเศษ

By: dampreecha
iPhoneWindows PhoneAndroidBlackberry
on 2 August 2015 - 01:01 #831543

94.1%? แล้วที่เหลือคือ??
ประเด็นคือเราผ่านจุดนี้มาได้อย่างไร อะไรคือ security?

By: PH41
ContributorAndroidUbuntuWindows
on 2 August 2015 - 08:13 #831577
PH41's picture

เอ่อ... เมื่อไหร่จะมี android ลงได้ทุก Spec นะ จะได้ไม่มีปัญญหาเรื่องไม่มีคนทำรอม

By: nessuchan
iPhoneAndroidWindows
on 2 August 2015 - 09:03 #831588
nessuchan's picture

Android ผมไว้ใจ Nexus ตัวเดียว ตัวอื่นนี่น่าใช้แค่ไหนก็ไม่เคยอยากซื้อ

By: MaxxIE
iPhoneAndroidUbuntuWindows
on 2 August 2015 - 15:41 #831673
MaxxIE's picture

ล้อ iCloud เค้าไว้เยอะ
Hacker เลยเล่นAndroidบ้าง

งานนี้ รอดูงานเปิดตัวปลายกันยา นี้เลย ผลไม้เล่นแน่ๆ

By: somphong.s
AndroidWindows
on 2 August 2015 - 17:29 #831690

ถ้าลง app Trend Micro Mobile Security
แล้ว จะช่วยป้องกัน ได้มั้ย

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 2 August 2015 - 18:14 #831697 Reply to:831690
Ford AntiTrust's picture

ปรกติพวก mobile security บน android มีข้อจำกัดเยอะมาก จะทำ real time scan กับไฟล์ที่กำลังโหลดเข้าเครื่องแบตคงหมดเร็วมาก และอันนี้มันระดับไฟล์รูปภาพปรกติที่โหลดได้ทั่วไปซึ่งโจมตีตัว render ของ OS โดยตรง ถ้า OS ไม่อุด นี่ลำบากมากครับ

mobile security บน android ปรกติไว้ scan ดูแอพต่างๆ ว่าอยู่ใน black list หรือ privacy black list หรือเปล่าเป็นหลัก