พบช่องโหว่บน Android ใช้เพียงรูปภาพก็สามารถแฮ็คเครื่องได้

sentinelone_logo

Tim Strazzere นักวิจัยด้านความมั่นคงปลอดภัยจาก SentinelOne ออกมาเปิดเผยถึงช่องโหว่บนอุปกรณ์ Android ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมอุปกรณ์ได้ผ่านทางการลอบส่งไฟล์รูปภาพปกติที่ดูเหมือนไม่มีพิษมีภัย แต่แฝงด้วย Exploit สำหรับเจาะเข้าอุปกรณ์

Credit: TATSIANAMA/ShutterStock
Credit: TATSIANAMA/ShutterStock

ช่องโหว่ดังกล่าวมีรหัส CVE-2016-3862 มีลักษณะคล้ายกับช่องโหว่ Stagefright ที่ช่วยให้แฮ็คเกอร์สามารถไฮแจ็คอุปกรณ์ Android ได้ผ่านทางการส่งข้อความ SMS โดยที่ผู้ใช้ไม่แม้แต่จะรู้ตัว ช่องโหว่นี้ใช้กระบวนการที่แอพพลิเคชันบางรายการของ Android เช่น Gchat หรือ Gmail ทำการวิเคราะห์ข้อมูล EXIF บนรูปภาพ เพื่อหยุดการทำการของอุปกรณ์หรือลอบส่ง Malicious Code เข้ามารันเพื่อฝังมัลแวร์เข้าสู่โทรศัพท์และเข้าควบคุมอุปกรณ์ได้โดยที่ไม่จำเป็นต้องทราบข้อมูลของผู้ใช้แต่อย่างใด

“เนื่องจากบั๊กนี้สามารถแสดงผลได้โดยไม่ต้องปฏิสัมพันธ์กับผู้ใช้มากนัก – เพียงแค่แอพพลิเคชันโหลดรูปภาพขึ้นมาทางใดทางหนึ่ง – การทำให้บั๊กแสดงผลนั้นง่ายเหมือนการรับข้อความหรืออีเมลจากใครสักคน เมื่อแอพพลิเคชันพยายามที่จะวิเคราะห์ (Parse) รูปภาพ (ซึ่งกระทำโดยอัตโนมัติ) อุปกรณ์จะหยุดให้บริการทันที” — Strazzere อธิบาย

Strazzere ระบุว่า แฮ็คเกอร์สามารถสร้าง Exploit บางอย่างฝังไว้ในรูปภาพ เพื่อโจมตีช่องโหว่ของการวิเคราะห์ (Parse) ข้อมูลรูปภาพเมื่อผู้ใช้เปิดไฟล์ขึ้นมาบนแอพพลิเคชันที่ได้รับผลกระทบ ได้แก่ Gchat, Gmail รวมไปถึงแอพพลิเคชันสำหรับรับส่งข้อความ และแอพพลิเคชันประเภทโซเชียลมีเดียต่างๆ

Android เวอร์ชันที่ได้รับผลกระทบคือ 4.4.4 ไปจนถึง 6.0.1 ซึ่งทาง Google ได้ทราบเรื่องและออกแพทช์อัปเดตเพื่ออุดช่องโหว่เป็นที่เรียบร้อย รวมไปถึงมอบรางวัลสำหรับการแจ้งช่องโหว่ดังกล่าวแก่ Strazzere เป็นจำนวนสูงถึง $8,000 หรือประมาณ 277,000 บาทผ่านทาง Bug Bounty Program

ที่มา: http://thehackernews.com/2016/09/hack-android-phone-security.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Server สำหรับงาน AI หน้าตาเป็นแบบไหน? พบคำตอบใน Infographic นี้ได้เลย

ทุกวันนี้ใครๆ ก็พูดถึงเรื่อง AI แต่เคยมีใครสงสัยหรือไม่ว่า Server ที่อยู่เบื้องหลังนั้นจะเป็นอย่างไร? บทความนี้เราขอนำเสนอ Infographic อธิบายคำตอบกันดังนี้ครับ

[Guest Post] Cybersecurity สำหรับธุรกิจขนาดเล็ก

ธุรกิจแบบไหนบ้างที่มีความเสี่ยงด้านความมั่นคงปลอดภัยบนโลกไซเบอร์ สำหรับเจ้าของธุรกิจขนาดเล็กแล้ว มีอุปสรรคมากมายที่ต้องเผชิญ รวมถึงความมั่นคงปลอดภัยของเทคโนโลยี เพราะทุกความเสี่ยงย่อมสร้างความเสียหายให้กับธุรกิจ และคำแนะนำส่วนมากก็มักเขียนสำหรับองค์กรใหญ่ๆ วันนี้เราจึงอยากพูดถึงความมั่นคงปลอดภัยไซเบอร์สำหรับธุรกิจขนาดเล็ก