Black Hat Asia 2023

พบช่องโหว่บน Android ใช้เพียงรูปภาพก็สามารถแฮ็คเครื่องได้

sentinelone_logo

Tim Strazzere นักวิจัยด้านความมั่นคงปลอดภัยจาก SentinelOne ออกมาเปิดเผยถึงช่องโหว่บนอุปกรณ์ Android ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมอุปกรณ์ได้ผ่านทางการลอบส่งไฟล์รูปภาพปกติที่ดูเหมือนไม่มีพิษมีภัย แต่แฝงด้วย Exploit สำหรับเจาะเข้าอุปกรณ์

Credit: TATSIANAMA/ShutterStock
Credit: TATSIANAMA/ShutterStock

ช่องโหว่ดังกล่าวมีรหัส CVE-2016-3862 มีลักษณะคล้ายกับช่องโหว่ Stagefright ที่ช่วยให้แฮ็คเกอร์สามารถไฮแจ็คอุปกรณ์ Android ได้ผ่านทางการส่งข้อความ SMS โดยที่ผู้ใช้ไม่แม้แต่จะรู้ตัว ช่องโหว่นี้ใช้กระบวนการที่แอพพลิเคชันบางรายการของ Android เช่น Gchat หรือ Gmail ทำการวิเคราะห์ข้อมูล EXIF บนรูปภาพ เพื่อหยุดการทำการของอุปกรณ์หรือลอบส่ง Malicious Code เข้ามารันเพื่อฝังมัลแวร์เข้าสู่โทรศัพท์และเข้าควบคุมอุปกรณ์ได้โดยที่ไม่จำเป็นต้องทราบข้อมูลของผู้ใช้แต่อย่างใด

“เนื่องจากบั๊กนี้สามารถแสดงผลได้โดยไม่ต้องปฏิสัมพันธ์กับผู้ใช้มากนัก – เพียงแค่แอพพลิเคชันโหลดรูปภาพขึ้นมาทางใดทางหนึ่ง – การทำให้บั๊กแสดงผลนั้นง่ายเหมือนการรับข้อความหรืออีเมลจากใครสักคน เมื่อแอพพลิเคชันพยายามที่จะวิเคราะห์ (Parse) รูปภาพ (ซึ่งกระทำโดยอัตโนมัติ) อุปกรณ์จะหยุดให้บริการทันที” — Strazzere อธิบาย

Strazzere ระบุว่า แฮ็คเกอร์สามารถสร้าง Exploit บางอย่างฝังไว้ในรูปภาพ เพื่อโจมตีช่องโหว่ของการวิเคราะห์ (Parse) ข้อมูลรูปภาพเมื่อผู้ใช้เปิดไฟล์ขึ้นมาบนแอพพลิเคชันที่ได้รับผลกระทบ ได้แก่ Gchat, Gmail รวมไปถึงแอพพลิเคชันสำหรับรับส่งข้อความ และแอพพลิเคชันประเภทโซเชียลมีเดียต่างๆ

Android เวอร์ชันที่ได้รับผลกระทบคือ 4.4.4 ไปจนถึง 6.0.1 ซึ่งทาง Google ได้ทราบเรื่องและออกแพทช์อัปเดตเพื่ออุดช่องโหว่เป็นที่เรียบร้อย รวมไปถึงมอบรางวัลสำหรับการแจ้งช่องโหว่ดังกล่าวแก่ Strazzere เป็นจำนวนสูงถึง $8,000 หรือประมาณ 277,000 บาทผ่านทาง Bug Bounty Program

ที่มา: http://thehackernews.com/2016/09/hack-android-phone-security.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พลิกมุมคิดการจัดการคลาวด์ไอทีอย่างสมาร์ตฉบับวีเอ็มแวร์ [Guest Post]

แม้คลาวด์จะกลายเป็นส่วนหนึ่งของการพาองค์กรก้าวข้ามวิกฤตไปสู่การสร้างสรรค์โมเดลธุรกิจหรือกลยุทธ์การแข่งขันใหม่ ด้วยคุณลักษณะที่คล่องตัว (Agility) ในการปรับความต้องการใช้งานโดยอัตโนมัติ (Auto-Scaling) ได้ด้วยตัวเอง (Self-Services) ทว่าหลายองค์กรซึ่งเลือกปฏิวัติระบบธุรกิจขึ้นสู่คลาวด์กลับประสบปัญหาการจัดการทรัพยากรที่ยิบย่อยบนคลาวด์ไม่ไหว แถมหัวจะปวดกับภัยคุกคามที่ยุ่งยากในการป้องกัน ด้วยเหตุนี้ ความคาดหวังต่อไอทีคลาวด์ยุคถัดไป คือ การปรับแต่งแอปพลิเคชันและแพลตฟอร์มคลาวด์ไอทีให้ทันสมัยตรงต่อความต้องการทางธุรกิจ ภายใต้ระบบการรักษาความปลอดภัยแบบองค์รวมที่แข็งแกร่ง ทั่วถึง และเป็นอัตโนมัติกว่าเดิม

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own Vancouver 2023 ผู้เข้าแข่งขันกวาดเงินรางวัลสูงสุด 475,000 เหรียญ หรือประมาณ 16 …