WhatsApp ยื่นฟ้องบริษัท NSO Group และ Q Cyber บริษัทความปลอดภัยไซเบอร์จากอิสราเอล คำฟ้องระบุว่าทั้งสองบริษัทยิงมัลแวร์ผ่านเซิร์ฟเวอร์ของ WhatsApp ไปยังเครื่องเป้าหมายประมาณ 1,400 เครื่อง เพื่อดักฟังข้อความแชตของเครื่องเหล่านั้น

คำฟ้องระบุว่าทั้งสองบริษัทสร้างไคลเอนต์จำลองเพื่อเชื่อมต่อกับเซิร์ฟเวอร์ของ WhatsApp โดยยิงโค้ดผ่านทางการยิงสัญญาณโทรศัพท์ ช่องโหว่นี้ทรงประสิทธิภาพมากพอที่จะฝังโค้ดบนหน่วยความจำของเครื่องเหยื่อได้ แม้เหยื่อจะไม่ได้กดรับสายก็ตาม โค้ดที่โหลดเข้าหน่วยความจำจะรอคำสั่งผ่านเซิร์ฟเวอร์ WhatsApp เมื่อได้คำสั่งก็จะดาวน์โหลดมัลแวร์ตัวเต็มมาติดตั้ง มัลแวร์ตัวเต็มจะเปิดทางให้เข้าดูข้อมูลในเครื่อง รวมถึงแชตได้

PHP รายงานช่องโหว่ CVE-2019-11043 ในโมดูล FPM ที่ตรวจสอบค่าในตัวแปร environment ไม่ดีพอ ทำให้เมื่อคอนฟิกใน nginx บางรูปแบบแล้วทำให้แฮกเกอร์ยิง URL ที่ออกแบบมาเฉพาะทำให้รันโค้ดในเซิร์ฟเวอร์ได้

ทาง PHP ออกแพตช์ รุ่น 7.3.11 และ 7.2.24 มาแก้ไขช่องโหว่นี้เรียบร้อยแล้ว หรือในกรณีที่ยังแพตช์ไม่ได้ สามารถบล็อก "%0a" ใน URL ซึ่งเป็นการเข้ารหัสอักขระ newline

แม้ว่าช่องโหว่จะร้ายแรงพอสมควร แต่รูปแบบที่ถูกโจมตีได้ก็ค่อนข้างจำกัด นักวิจัยได้ปล่อย PoC บน dropbox โดยหากคอนฟิกที่ใช้อยู่มีช่องโหว่ ตัว PHP จะแครชไป

บริษัทด้านความปลอดภัยไซเบอร์ Comparitech ค้นพบฐานข้อมูลลูกค้า Adobe Creative Cloud ที่เข้าถึงได้จากอินเทอร์เน็ตโดยไม่ต้องใส่รหัสผ่านใดๆ โดยมีข้อมูลลูกค้า อีเมล ข้อมูลบัญชี (ไม่มีรหัสผ่านและเลขบัตรเครดิต) ของลูกค้าราว 7.5 ล้านคน

Bob Diachenko นักวิจัยความปลอดภัยที่ค้นพบฐานข้อมูลนี้ แจ้งเตือนไปยัง Adobe ในวันเดียวกับที่ค้นพบ แต่ไม่มีข้อมูลว่ามีคนอื่นเข้าถึงฐานข้อมูลนี้ก่อนหน้าหรือไม่

ถึงแม้ฐานข้อมูลนี้ไม่มีข้อมูลสำคัญอย่างรหัสผ่านหรือบัตรเครดิต แต่ก็มีข้อมูลอีเมลที่อาจนำไปใช้หลอกลวงหรือ phishing ผู้ใช้กลุ่มนี้บนบริการอื่นๆ ได้เช่นกัน

นายผยง ศรีวณิช กรรมการผู้จัดการใหญ่ ธนาคารกรุงไทย เผยว่าตอนนี้ทางธนาคารพบผู้ไม่หวังดีเข้ามาก่อกวนระบบการลงทะเบียน ชิม ช้อป ใช้ เฟส 2 ทำให้ประชาชนที่ต้องการลงทะเบียนทำได้ช้ากว่าปกติ ตอนนี้ทางธนาคารประสานกับกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเพื่อจัดการปัญหาดังกล่าวแล้ว

ส่วนผู้ที่สนใจสามารถโหลดแอพเป๋าตังมาลงทะเบียนเฟส 2 ได้

ที่มา : ทวิตเตอร์ธนาคารกรุงไทย

สัปดาห์ก่อน Samsung Galaxy S10, Galaxy Note 10 มีบั๊กปลดล็อคหน้าจอเมื่อติดฟิล์มกันรอยและทาง Samsung จะออกแพทช์แก้ปัญหามาให้ ตอนนี้ Samsung อัพเดตแพทช์ดังกล่าวในเกาหลีใต้แล้วก่อนเปิดให้ทั่วโลกภายหลัง

ทาง Samsung ได้ย้ำว่าเมื่ออัพเดตแพทช์นี้เสร็จแล้ว ขอให้ถอดฟิล์มกันรอยทิ้ง, ลบลายนิ้วมือที่เคยสแกนไว้ในเครื่องทั้งหมดออกแล้วสแกนใหม่เพื่อความปลอดภัย

ที่มา : Android Central

รูปแบบการโจมตีในยุคหลังซับซ้อนขึ้นเรื่อยๆ เราเริ่มเห็นการโจมตีในระดับชั้นที่ต่ำกว่า OS นั่นคือไปที่เฟิร์มแวร์โดยตรง ทำให้ OS ที่บูตขึ้นมาไม่สามารถตรวจจับได้ว่าโดนดักข้อมูลอยู่

ในโลกของฮาร์ดแวร์เซิร์ฟเวอร์ เราเริ่มเห็นผู้ผลิตฮาร์ดแวร์บางราย (เช่น Dell หรือ HPE) เพิ่มระบบรักษาความปลอดภัยที่ระดับของฮาร์ดแวร์ (hardware root of  trust) บางครั้งอาจไปถึงขั้น กูเกิลออกแบบชิปความปลอดภัย Titan ขึ้นมาใหม่ทั้งตัวเพื่อป้องกันการโจมตีเฟิร์มแวร์ลักษณะนี้

ล่าสุดแนวคิดนี้มาถึงโลกของพีซีแล้ว โดยไมโครซอฟท์เป็นผู้มาผลักดันด้วยตัวเอง และใช้ชื่อเรียกว่า Secured-core PC

Avast บริษัทซอฟต์แวร์รักษาความปลอดภัยไซเบอร์แจ้งผู้ใช้ว่าบริษัทถูกแฮกตั้งแต่กลางเดือนพฤษภาคมที่ผ่านมา จนกระทั่งรู้ตัวเมื่อวันที่ 23 กันยายน เมื่อพบความผิดปกติของเน็ตเวิร์คในบริษัท จึงจ้างทีมงานภายนอกเข้ามาหาหลักฐานเพิ่มเติม

จากนั้นทีมงานพบว่ามีความพยายามสำเนาข้อมูลระบบ directory service เข้าไปยังไอพีต้นทางที่เป็นไอพีกลุ่ม VPN เมื่อตรวจสอบลงไปจึงพบว่าเป็นโปรไฟล์ VPN ชั่วคราวที่ลืมปิดทิ้ง และยังไม่ได้บังคับล็อกอินสองขั้นตอน

เซิร์ฟเวอร์ของ NordVPN ผู้ให้บริการ VPN รายใหญ่ถูกแฮกตั้งแต่เดือนมีนาคม 2018 และบริษัทรู้ถึงการแฮกครั้งนี้ "ไม่กี่เดือนก่อนหน้านี้" ก่อนจะประกาศสาธารณะให้ผู้ใช้รับรู้โดยทั่วกัน

ทางบริษัทระบุว่าช่องโหว่เกิดจากระบบจัดการเซิร์ฟเวอร์ระยะไกล ที่ตัวศูนย์ข้อมูลใช้จัดการเซิร์ฟเวอร์ โดยทางศูนย์ข้อมูลปล่อยให้มีช่องโหว่ในระบบจัดการและแฮกเกอร์สามารถเข้าถึงเซิร์ฟเวอร์ของ NordVPN ได้สำเร็จ ตัวเซิร์ฟเวอร์ตั้งแต่สิ้นเดือนมกราคม 2018 จากนั้นทางศูนย์ข้อมูลพบช่องโหว่และลบบัญชีล็อกอินทิ้งในวันที่ 20 มีนาคม 2018 โดยไม่ได้แจ้ง NordVPN

เราเคยรายงานประเด็น Pixel 4 ปลดล็อคใบหน้าแม้เจ้าของยังหลับตาไปเมื่อก่อนหน้า ตอนนี้ Google ชี้แจงกับ The Verge ว่ากำลังแก้ปัญหานี้อยู่และจะเพิ่มตัวเลือกว่าต้องลืมตาอยู่เพื่อปลดล็อคมาให้ในภายหลัง แต่คาดว่าจะใช้เวลาพอควรและจะปล่อยอัพเดตให้กับเจ้าของ Pixel 4 ในอีกไม่กี่เดือนต่อจากนี้

Google Pixel 4 ที่จะวางขายในตอนแรกจะยังมีปัญหานี้อยู่ แต่ก็แก้ไขได้ด้วยการกดปุ่ม power ค้างไว้แล้วเลือกใช้ฟีเจอร์ Lockdown (ต้องไปเปิดก่อนใน Setting) ทำให้การปลดล็อคครั้งถัดไปจะไม่สามารถใช้ Biometric หรือ Smart Lock ได้ ต้องใช้ PIN, รหัสผ่านหรือแพทเทิร์นเท่านั้น

มีผู้ใช้รถยนต์ Mercedes-Benz รายงานว่า แอป Mercedes-Benz สำหรับใช้งานเพื่อระบุตำแหน่งรถยนต์, ปลดล็อก และสตาร์ทรถยนต์กำลังมีปัญหาเรื่องข้อมูลส่วนตัวรั่วไหล เพราะเขาสามารถเห็นข้อมูลบัญชีของคนอื่น และรายงานข้อมูลรถยนต์ของคนอื่นด้วย

TechCrunch ได้สอบถามผู้ใช้รถยนต์และแอปของ Mercedes-Benz สองคน และได้รับทราบว่าตัวแอปมีการดึงข้อมูลจากบัญชีอื่นที่ไม่ใช่ของตัวเองมา ทำให้สามารถเห็นชื่อเจ้าของรถคนอื่น, กิจกรรมล่าสุด, เบอร์โทรศัพท์ และอื่น ๆ ซึ่งหากมองในทางกลับกัน ไม่แน่ว่าข้อมูลส่วนตัวของตนเองก็อาจจะหลุดไปสู่คนอื่นได้เช่นกัน

อย่างไรก็ดี มีบางคนทดลองกดปุ่มสั่งล็อค/ปลดล็อค หรือสตาร์ทเครื่องยนต์ พบว่าไม่สามารถใช้งานได้ ทำให้ผลกระทบค่อนข้างจำกัด

Yubico ออกแอปใหม่สำหรับผู้ใช้ Windows และ YubiKey ให้สามารถใช้กุญแจเพื่อความปลอดภัยในการล็อกอินเพื่อเข้าใช้งาน Windows สามารถใช้งานได้ทั้ง Windows 7, 8.1 และ 10

Yubico Login for Windows Application ในตอนนี้จะเน้นการใช้งานกับ local user บน Windows (ล็อกอินแบบไม่ใช้ Active Directory หรือ Microsoft Account) และผู้ใช้ที่ยังไม่ได้เปิดใช้งาน Windows Hello, PIN หรือ Picture Password ของ Windows

การที่ Yubico ลงมาทำแอปเองโดยตรง ก็เพื่อให้การล็อคอิน Windows ด้วย YubiKey ใช้งานได้ง่าย และยังทำให้ Yubico ใส่ฟีเจอร์ใหม่ ๆ ในแอปได้ด้วย เช่น ลงทะเบียน YubiKey สำรอง หรือกู้คืนระบบเมื่อทำ YubiKey หาย เป็นต้น

ไม่นานหลังมีประเด็นว่า Galaxy S10 พบบั๊กอ่านลายนิ้วมือถ้าใช้ฟิล์มกันรอย ทำให้ใครปลดล็อกก็ได้

ล่าสุดซัมซุงแถลงเรื่องนี้แล้ว โดยยืนยันว่า S10 และ Note 10 ทุกรุ่นได้รับผลกระทบนี้ พร้อมทั้งแนะนำให้ลอกฟิล์มที่มีปัญหาออกไปก่อน ลบข้อมูลลายนิ้วมือเดิมแล้วค่อยบันทึกลายนิ้วมือใหม่

ซัมซุงแนะนำให้เลี่ยงการใช้ฟิล์มไปก่อนจนกว่าจะมีการปล่อยแพทช์อัพเดต ซึ่งคาดว่าจะมาอย่างเร็วในสัปดาห์หน้า

ที่มา - ซัมซุง

Google Pixel 4 ยังไม่ทันขายก็เป็นประเด็นเมื่อคุณ Chris Fox นักข่าว BBC ที่ได้เครื่องไปใช้ก่อนก็โพสท์ในทวิตเตอร์ส่วนตัวว่าเขาปลดล็อค Pixel 4 ได้ถึงจะหลับตาอยู่ แม้ก่อนหน้านี้ที่มีข่าวหลุดว่าในหน้า Face Unlock มีตัวเลือกว่าต้องลืมตาอยู่เพื่อปลดล็อคนั้น ทาง Android Police แจ้งว่ายังไม่มีตัวเลือกนี้

นอกจากนี้ในหน้าสนับสนุนของมือถือ Pixel ยังแจ้งไว้ในหมวดวิธีการทำงานของการปลดล็อคด้วยใบหน้าว่า "มือถือของคุณปลดล็อคได้ด้วยบุคคลอื่นที่หันจอมือถือคุณใส่หน้าแม้หลับตาอยู่ กรุณาเก็บมือถือเอาไว้ในที่ปลอดภัยเช่นกระเป๋ากางเกงหรือกระเป๋าถือด้วย" (Your phone can also be unlocked by someone else if it’s held up to your face, even if your eyes are closed.) รวมถึงระบุชัดเจนว่าคนที่หน้าคล้ายกันก็สามารถปลดล็อคแทนกันได้ สำหรับทางแก้ไขนั้นคงต้องรอกูเกิลจัดการต่อไป

ซัมซุงประกาศเตรียมออกแพตช์ให้ Samsung Galaxy S10 หลังมีรายงานว่าผู้ใช้สามารถปลดล็อกเครื่องผู้ใช้อื่นได้ หากบนหน้าจอมีฟิล์มกันรอยจากผู้ผลิตอื่นบางยี่ห้อติดอยู่

ตัวอ่านลายนิ้วมือแบบอัลตร้าโซนิคใน Galaxy S10 มีปัญหากับฟิล์มกันรอยบางประเภทมาตั้งแต่ช่วงแรกๆ โดยผู้ใช้อาจไม่สามารถปลดล็อกเครื่องได้เมื่อติดฟิล์มกันรอย แต่สัปดาห์นี้ Lisa Neilson ผู้ใช้จากอังกฤษรายงานว่าเธอสามารถปลดล็อกโทรศัพท์ตัวเองได้แม้ใช้นิ้วปลดผิดนิ้วก็ตาม และเมื่อทดสอบไปปลดล็อกโทรศัพท์เครื่องน้องสาวที่ใช้ฟิล์มรุ่นเดียวกันก็ปลดล็อกได้เหมือนเดิม

มอซิลล่าประกาศความเปลี่ยนแปลงในเบราว์เซอร์ไฟร์ฟอกซ์เวอร์ชั่น 70 โดยมีความเปลี่ยนแปลงสำคัญที่แถบ URL ที่จะแสดงกระบวนการเข้ารหัสและใบรับรองที่เปลี่ยนไป 3 ประการหลัก ได้แก่

Elastic ที่มีซอฟต์แวร์หลัก คือ Elasticsearch หันมาทำตลาดกลุ่มความปลอดภัยไซเบอร์อย่างหนักในช่วงหลัง เปิดตัว Elastic Endpoint ซอฟต์แวร์รักษาความปลอดภัยเครื่องไคลเอนต์

ตัว Endpoint เป็นซอฟต์แวร์ของบริษัท Endgame ที่ Elastic ไปซื้อมาตั้งแต่ช่วงกลางปีที่ผ่านมา โดยตอนนี้ยังเป็นซอฟต์แวร์แยกกับชุดซอฟต์แวร์ Elasticsearch อยู่ แต่ทาง Elastic ระบุว่าในอนาคตจะรวมเป็นชุดเดียวกัน โดยตัว Endpoint จะเข้าเป็นไคลเอนต์ของ Elasticsearch

แม้ทาง Elastic จะเข้าตลาดมาทีหลัง แต่บริษัทก็ชูจุดขายว่า Endpoint จะไม่คิดราคาตามจำนวนเครื่องไคลเอนต์ที่ติดตั้ง แต่ไปคิดค่าไลเซนส์ตามทรัพยากรฝั่งเซิร์ฟเวอร์ที่เก็บข้อมูลแทน

The Hacker News รายงานการพบช่องโหว่ CVE-2019-14287 ที่ค่อนข้างร้ายแรง ในคำสั่ง sudo โดยกระทบกรณีที่ผู้ดูแลระบบให้สิทธิ์ผู้ใช้ในการรันคำสั่งแทนผู้ใช้อื่น แต่จำกัดไม่ให้รันในสิทธิ์ root

ช่องโหว่นี้มีผลเมื่อผู้ใช้ที่มุ่งร้าย ระบุเลข user id ให้กับคำสั่ง sudo เป็น -1 หรือ 4294967295 ระบบจะบั๊กแล้วตีความว่าเป็นคำสั่งจาก user 0 ซึ่งเป็นสิทธิระดับ root แม้ว่าไฟล์ sudoer จะระบุไว้ว่าไม่ให้สิทธิ์ก็ตาม

ช่องโหว่นี้กระทบ sudo เวอร์ชัน 1.8.28 ลงไป ซึ่งก็คาดว่าดิสโทรต่าง ๆ น่าจะปล่อยอัพเดตอุดช่องโหว่ให้เร็ว ๆ นี้ ผู้ใช้ลินุกซ์ควรติดตามและรีบอัพเดตเร็วที่สุด

ที่มา - The Hacker News

Google เปิดตัว Titan Security Key กุญแจ U2F อีกรุ่นเป็นหัว USB-C จากเดิมที่มีแค่ USB-A/NFC และ Bluetooth โดยรุ่นนี้ไม่ได้มี NFC ติดมาด้วย แต่ก็น่าจะสะดวกกับการใช้งานกับสมาร์ทโฟนหรือแล็บท็อปใหม่ ๆ มากขึ้น

ราคาของรุ่น USB-C อยู่ที่ 40 เหรียญ ผลิตโดย Yubico ทว่าไม่รองรับมาตรฐาน FIDO2 (รองรับแค่ WebAuthn) นอกจากนี้ Google ยังประกาศแยกขายกุญแจ U2F รุ่น USB-A กับ Bluetooth ด้วยจากเดิมที่บันเดิลรวมกัน 50 เหรียญ แยกเป็น USB-A/NFC 25 เหรียญ ส่วน Bluetooth 35 เหรียญ

มีรายงานการค้นพบช่องโหว่ใน Bonjour เครื่องมือสำหรับจัดการเครือข่ายของแอปเปิลบน Windows ซึ่งติดตั้งมาพร้อมกับ iTunes และ iCloud for Windows ทำให้มัลแวร์ Bitpaymer สามารถโจมตีโดยเรียกการทำงานของโปรแกรมได้เสมือนเป็นโปรแกรมปกติ

ทั้งนี้แอปเปิลได้ออกอัพเดตล่าสุด iTunes บน Windows เวอร์ชัน 12.10.1 เพื่อปิดช่องโหว่ดังกล่าวแล้ว จึงแนะนำให้ผู้ใช้ iTunes บน Windows อัพเดตซอฟต์แวร์ทันที

เนื่องจากช่องโหว่นี้เป็นการโจมตีผ่าน Bonjour หากผู้ใช้งานเคยลง iTunes หรือ iCloud for Windows แต่ถอนการติดตั้งไปแล้ว ซึ่งจะไม่มีการถอน Bonjour ออกไปให้ด้วย จึงแนะนำให้ลบ Bonjour ออกไปด้วย เนื่องจากแอปเปิลไม่มีแพตช์สำหรับ Bonjour โดยเฉพาะ ต้องทำผ่าน iTunes อีกที

Ken Thompson เป็นหนึ่งในผู้สร้างระบบปฎิบัติการยูนิกซ์ ที่เป็นต้นแบบของมาตรฐาน POSIX ที่ไลนัสนำมาสร้างลินุกซ์อีกที เป็นหนึ่งในผู้พัฒนา BSD 3.0 มาตั้งแต่ปี 1980 และซอร์สโค้ดก็อยู่รอดมาจนทุกวันนี้ โดยพบว่ามีไฟล์ /etc/passwd ที่เก็บค่าแฮชรหัสผ่านหลุดมาด้วย ล่าสุดรหัสผ่านของ Thompson ที่มีค่าแฮชเป็น ZghOT0eRm4U9s ก็ถูกถอดรหัสออกมาแล้ว

FortiGuard Labs รายงานการค้นพบช่องโหว่ระดับร้ายแรง (CVE-2019-16920) ในเราท์เตอร์ 4 รุ่นได้แก่ DIR-655, DIR-866L, DIR-652, DHP-1565 ซึ่งเปิดโอกาสให้รันโค้ดผ่านทางไกล (RCE) โดยไม่ต้องยืนยันตน

อย่างไรก็ตามทาง FortiGuard Labs ได้รับการติดต่อจาก D-Link แจ้งว่าเราท์เตอร์ทั้ง 4 รุ่นเข้าสู่สถานะ End-of-Life เรียบร้อยแล้ว D-Link ไม่มีการผลิตและจำหน่ายเราท์เตอร์ทั้ง 4 รุ่นที่ออกมาตั้งแต่ปี 2005 นี้อีกแล้ว เลยไม่ได้ซัพพอร์ทและแพตช์ช่องโหว่ดังกล่าวให้ ทว่า Tom's Guide ระบุว่ายังพบการขายเราท์เตอร์ทั้ง 4 รุ่นอยู่ในช่องทางออนไลน์ โดยในประเทศไทยเท่าที่ผมเจอคือรุ่น DIR-655 ที่ยังขายอยู่ผ่าน JIB (แต่ขึ้น out of stock)

กูเกิลปล่อยแพตช์ความปลอดภัยประจำรอบเดือนตุลาคม 2019 (2019-10-05) ซึ่งถือเป็นแพตช์ชุดแรกของ Android 10 ที่ออกตัวจริงในช่วงต้นเดือนกันยายน

แพตช์ตัวนี้ถือว่ามีความสำคัญ เพราะฟีเจอร์ใหม่ของ Android 10 คือ Project Mainline ทำให้กูเกิลสามารถอัพเดต "บางส่วน" ของตัว OS ผ่าน Google Play Store ได้เหมือนกับการอัพเดตแอพทั่วไป แพตช์ตัวนี้ถือเป็นครั้งแรกที่กูเกิลปล่อยอัพเดตความปลอดภัยผ่านระบบใหม่ที่ว่านี้

ศูนย์ความมั่นคงปลอดภัยไซเบอร์สหราชอาณาจักร (National Cyber Security Centre - NCSC) แจ้งเตือนช่องโหว่รันโค้ดจากระยะไกล (remote code execution - RCE) ของเมลเซิร์ฟเวอร์ Exim ที่ได้รับความนิยมสูงในกลุ่มเซิร์ฟเวอร์โอเพนซอร์ส

ช่องโหว่ในกลุ่มเดียวกันมีรายงานออกมาเรื่อยๆ นับแต่ CVE-2019-10149 ที่รายงานมาตั้งแต่เดือนมิถุนายนที่ผ่านมา, CVE-2019-15846 ที่รายงานต้นเดือนกันยายน, และ CVE-2019-16928 ที่เพิ่งรายงานช่วงปลายเดือนกันยายน ช่องโหว่ทั้งหมดเป็นช่องโหว่ระดับวิกฤติ เปิดทางรันโค้ดจากอินเทอร์เน็ตโดยไม่ต้องล็อกอินสู่ระบบก่อน

Google ประกาศเตรียมบล็อคคอนเทนต์ที่เป็น HTTP ภายใต้หน้าเว็บที่เป็น HTTPS เป็นค่าเริ่มต้น ซึ่งจะช่วยเพิ่มความปลอดภัยและความเป็นส่วนตัวให้ผู้ใช้มากยิ่งขึ้น รวมถึงสามารถแสดง UX ที่ชัดเจนกับผู้ใช้ได้ด้วยว่าหน้าเว็บนี้ปลอดภัยจริงหรือไม่

ปัจจุบัน เว็บไซต์กว่า 90% ได้ปรับเปลี่ยนเป็น HTTPS แล้ว และผู้ใช้ Chrome ก็ใช้เวลากว่า 90% ใช้งานเว็บ HTTPS บนแพลตฟอร์มหลักทุกแพลตฟอร์ม แต่ก็ยังมีประเด็นเรื่องคอนเทนต์ภายในหน้าเว็บที่ยังเป็น HTTP ผสมอยู่บ้าง แม้ว่า Chrome จะบล็อคคอนเทนต์ประเภทบางอย่างเช่นสคริปต์หรือ iframe แล้ว แต่ภาพ, เสียง หรือวิดีโอยังคงโหลดได้อยู่ ซึ่งเป็นประเด็นเพราะหน้าเว็บก็ไม่ได้ปลอดภัยเต็มที่

กูเกิลออกมาเผยว่าล่าสุด ทีม Project Zero ได้พบช่องโหว่ที่ยังไม่ได้แพทช์และถูกโจมตีแล้ว (0-day) บนแอนดรอยด์หลายรุ่น ซึ่งช่องโหว่นี้สามารถใช้เจาะเข้าถึง Root ของแอนดรอยด์ได้และทีม Threat Analysis Group (TAG) พบการโจมตีช่องโหว่นี้แล้ว

ช่องโหว่นี้เป็นบั๊กที่แก้ไขไปตั้งแต่ปลายปี 2017 แต่กลับพบว่าเคอร์เนลที่ติดตั้งไปกับโทรศัพท์หลายรุ่นกลับมีช่องโหว่นี้อยู่ โดยทีม TAG ระบุว่าได้ข้อมูลว่า บริษัท NSO Group ความปลอดภัยไซเบอร์สัญชาติอิสราเอล ได้ใช้ช่องโหว่นี้แล้ว เนื่องจากช่องโหว่กระทบถึงโค้ดที่รันใน sandbox ของ Chrome ทำให้การโจมตีสามารถทำได้ผ่านเว็บ

โดยสมาร์ทโฟนรุ่นที่เข้าข่ายมีรายชื่อดังนี้: