Black Hat Asia 2023

พบบั๊คบน Android 5 ช่วยแฮ็คเกอร์ปลดล็อครหัสผ่าน

หน่วยงาน Information Security Office (ISO) แห่ง University of Texus at Austin ได้ออกมาประกาศค้นพบช่องโหว่ใหม่บนสมาร์ทโฟนและแท็บเล็ตที่ใช้ระบบปฏิบัติการ Android 5 ทุกเวอร์ชันยกเว้น 5.1.1 ซึ่งช่วยให้แฮ็คเกอร์สามารถปลดล็อคอุปกรณ์ที่ใช้รหัสผ่าน (Password-protected) เพื่อเข้าเครื่องได้ทันที โดยมีหมายเลข CVE คือ CVE-2015-3860

“ด้วยการจัดการ String ของฟิลด์รหัสผ่านอันแยบยล เมื่อแอพกล้องถ่ายรูปกำลังทำงานอยู่ แฮ็คเกอร์สามารถสร้างความปั่นป่วนแก่หน้าจอล็อคสกรีนได้ ส่งผลให้ระบบล็อคสกรีนเกิดปัญหา แล้วปลดล็อคตัวเองเข้าสู่หน้าโฮมสกรีนโดยอัตโนมัติ แฮ็คเกอร์สามารถเข้าถึงแอพพลิเคชันบนอุปกรณ์ได้ตามความต้องการ รวมทั้งเข้าควบคุมอุปกรณ์เพื่อขโมยข้อมูลภายในได้ทันที” — John Vernon Gordon III นักวิเคราะห์เครือข่ายความปลอดภัยอาวุโสแห่ง UT ISO อธิบาย

แน่นอนว่า แฮ็คเกอร์จำเป็นต้องเข้าถึงอุปกรณ์ (หรือขโมยอุปกรณ์) จึงจะใช้งานหรือขโมยข้อมูลได้

Google ออกแพทช์อัพเดทเวอร์ชัน 5.1.1 เรียบร้อย

ทาง Google ได้ประกาศถึงรายละเอียดของช่องโหว่และออกแพทช์เวอร์ชัน 5.1.1 Build LMY48M เป็นที่เรียบร้อยเมื่อสัปดาห์ที่ผ่านมา สำหรับผู้ที่ใช้อุปกรณ์ OEM หรือแบรนด์อื่นๆที่ยังไม่มีแพทช์ออกมาแก้ปัญหาดังกล่าว แนะนำให้ผู้ที่ใช้รหัสผ่านในการปลดล็อคเปลี่ยนเป็นรหัส PIN หรือ Pattern-based Lockscreen แทน

ที่มา: http://sites.utexas.edu/iso/2015/09/15/android-5-lockscreen-bypass/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พลิกมุมคิดการจัดการคลาวด์ไอทีอย่างสมาร์ตฉบับวีเอ็มแวร์ [Guest Post]

แม้คลาวด์จะกลายเป็นส่วนหนึ่งของการพาองค์กรก้าวข้ามวิกฤตไปสู่การสร้างสรรค์โมเดลธุรกิจหรือกลยุทธ์การแข่งขันใหม่ ด้วยคุณลักษณะที่คล่องตัว (Agility) ในการปรับความต้องการใช้งานโดยอัตโนมัติ (Auto-Scaling) ได้ด้วยตัวเอง (Self-Services) ทว่าหลายองค์กรซึ่งเลือกปฏิวัติระบบธุรกิจขึ้นสู่คลาวด์กลับประสบปัญหาการจัดการทรัพยากรที่ยิบย่อยบนคลาวด์ไม่ไหว แถมหัวจะปวดกับภัยคุกคามที่ยุ่งยากในการป้องกัน ด้วยเหตุนี้ ความคาดหวังต่อไอทีคลาวด์ยุคถัดไป คือ การปรับแต่งแอปพลิเคชันและแพลตฟอร์มคลาวด์ไอทีให้ทันสมัยตรงต่อความต้องการทางธุรกิจ ภายใต้ระบบการรักษาความปลอดภัยแบบองค์รวมที่แข็งแกร่ง ทั่วถึง และเป็นอัตโนมัติกว่าเดิม

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own Vancouver 2023 ผู้เข้าแข่งขันกวาดเงินรางวัลสูงสุด 475,000 เหรียญ หรือประมาณ 16 …