พบช่องโหว่บน Android ใช้เพียงรูปภาพก็สามารถแฮ็คเครื่องได้

Tim Strazzere นักวิจัยด้านความมั่นคงปลอดภัยจาก SentinelOne ออกมาเปิดเผยถึงช่องโหว่บนอุปกรณ์ Android ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมอุปกรณ์ได้ผ่านทางการลอบส่งไฟล์รูปภาพปกติที่ดูเหมือนไม่มีพิษมีภัย แต่แฝงด้วย Exploit สำหรับเจาะเข้าอุปกรณ์

ช่องโหว่ดังกล่าวมีรหัส CVE-2016-3862 มีลักษณะคล้ายกับช่องโหว่ Stagefright ที่ช่วยให้แฮ็คเกอร์สามารถไฮแจ็คอุปกรณ์ Android ได้ผ่านทางการส่งข้อความ SMS โดยที่ผู้ใช้ไม่แม้แต่จะรู้ตัว ช่องโหว่นี้ใช้กระบวนการที่แอพพลิเคชันบางรายการของ Android เช่น Gchat หรือ Gmail ทำการวิเคราะห์ข้อมูล EXIF บนรูปภาพ เพื่อหยุดการทำการของอุปกรณ์หรือลอบส่ง Malicious Code เข้ามารันเพื่อฝังมัลแวร์เข้าสู่โทรศัพท์และเข้าควบคุมอุปกรณ์ได้โดยที่ไม่จำเป็นต้องทราบข้อมูลของผู้ใช้แต่อย่างใด

“เนื่องจากบั๊กนี้สามารถแสดงผลได้โดยไม่ต้องปฏิสัมพันธ์กับผู้ใช้มากนัก – เพียงแค่แอพพลิเคชันโหลดรูปภาพขึ้นมาทางใดทางหนึ่ง – การทำให้บั๊กแสดงผลนั้นง่ายเหมือนการรับข้อความหรืออีเมลจากใครสักคน เมื่อแอพพลิเคชันพยายามที่จะวิเคราะห์ (Parse) รูปภาพ (ซึ่งกระทำโดยอัตโนมัติ) อุปกรณ์จะหยุดให้บริการทันที” — Strazzere อธิบาย

Strazzere ระบุว่า แฮ็คเกอร์สามารถสร้าง Exploit บางอย่างฝังไว้ในรูปภาพ เพื่อโจมตีช่องโหว่ของการวิเคราะห์ (Parse) ข้อมูลรูปภาพเมื่อผู้ใช้เปิดไฟล์ขึ้นมาบนแอพพลิเคชันที่ได้รับผลกระทบ ได้แก่ Gchat, Gmail รวมไปถึงแอพพลิเคชันสำหรับรับส่งข้อความ และแอพพลิเคชันประเภทโซเชียลมีเดียต่างๆ

Android เวอร์ชันที่ได้รับผลกระทบคือ 4.4.4 ไปจนถึง 6.0.1 ซึ่งทาง Google ได้ทราบเรื่องและออกแพทช์อัปเดตเพื่ออุดช่องโหว่เป็นที่เรียบร้อย รวมไปถึงมอบรางวัลสำหรับการแจ้งช่องโหว่ดังกล่าวแก่ Strazzere เป็นจำนวนสูงถึง $8,000 หรือประมาณ 277,000 บาทผ่านทาง Bug Bounty Program

ที่มา: http://thehackernews.com/2016/09/hack-android-phone-security.html