Breaking News

พบช่องโหว่บน Android ใช้เพียงรูปภาพก็สามารถแฮ็คเครื่องได้

sentinelone_logo

Tim Strazzere นักวิจัยด้านความมั่นคงปลอดภัยจาก SentinelOne ออกมาเปิดเผยถึงช่องโหว่บนอุปกรณ์ Android ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมอุปกรณ์ได้ผ่านทางการลอบส่งไฟล์รูปภาพปกติที่ดูเหมือนไม่มีพิษมีภัย แต่แฝงด้วย Exploit สำหรับเจาะเข้าอุปกรณ์

Credit: TATSIANAMA/ShutterStock
Credit: TATSIANAMA/ShutterStock

ช่องโหว่ดังกล่าวมีรหัส CVE-2016-3862 มีลักษณะคล้ายกับช่องโหว่ Stagefright ที่ช่วยให้แฮ็คเกอร์สามารถไฮแจ็คอุปกรณ์ Android ได้ผ่านทางการส่งข้อความ SMS โดยที่ผู้ใช้ไม่แม้แต่จะรู้ตัว ช่องโหว่นี้ใช้กระบวนการที่แอพพลิเคชันบางรายการของ Android เช่น Gchat หรือ Gmail ทำการวิเคราะห์ข้อมูล EXIF บนรูปภาพ เพื่อหยุดการทำการของอุปกรณ์หรือลอบส่ง Malicious Code เข้ามารันเพื่อฝังมัลแวร์เข้าสู่โทรศัพท์และเข้าควบคุมอุปกรณ์ได้โดยที่ไม่จำเป็นต้องทราบข้อมูลของผู้ใช้แต่อย่างใด

“เนื่องจากบั๊กนี้สามารถแสดงผลได้โดยไม่ต้องปฏิสัมพันธ์กับผู้ใช้มากนัก – เพียงแค่แอพพลิเคชันโหลดรูปภาพขึ้นมาทางใดทางหนึ่ง – การทำให้บั๊กแสดงผลนั้นง่ายเหมือนการรับข้อความหรืออีเมลจากใครสักคน เมื่อแอพพลิเคชันพยายามที่จะวิเคราะห์ (Parse) รูปภาพ (ซึ่งกระทำโดยอัตโนมัติ) อุปกรณ์จะหยุดให้บริการทันที” — Strazzere อธิบาย

Strazzere ระบุว่า แฮ็คเกอร์สามารถสร้าง Exploit บางอย่างฝังไว้ในรูปภาพ เพื่อโจมตีช่องโหว่ของการวิเคราะห์ (Parse) ข้อมูลรูปภาพเมื่อผู้ใช้เปิดไฟล์ขึ้นมาบนแอพพลิเคชันที่ได้รับผลกระทบ ได้แก่ Gchat, Gmail รวมไปถึงแอพพลิเคชันสำหรับรับส่งข้อความ และแอพพลิเคชันประเภทโซเชียลมีเดียต่างๆ

Android เวอร์ชันที่ได้รับผลกระทบคือ 4.4.4 ไปจนถึง 6.0.1 ซึ่งทาง Google ได้ทราบเรื่องและออกแพทช์อัปเดตเพื่ออุดช่องโหว่เป็นที่เรียบร้อย รวมไปถึงมอบรางวัลสำหรับการแจ้งช่องโหว่ดังกล่าวแก่ Strazzere เป็นจำนวนสูงถึง $8,000 หรือประมาณ 277,000 บาทผ่านทาง Bug Bounty Program

ที่มา: http://thehackernews.com/2016/09/hack-android-phone-security.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft แพตช์อุดช่องโหว่เดือนสิงหาคม มี Zero-day 2 รายการถูกใช้แล้ว แนะเร่งอัปเดต

สำหรับแพตช์ประจำเดือนสิงหาคมในส่วนผลิตภัณฑ์จาก Microsoft นั้น มีจำนวน 120 รายการ โดยกว่า 17 รายการเป็นช่องโหว่ร้ายแรง ซึ่ง 2 รายการนั้นพบการใช้โจมตีจริงแล้ว ด้วยเหตุนี้จึงเตือนให้ผู้ใช้งานกรุณาอัปเดตครับ

Oracle Webinar: ลดการลงทุนด้านเทคโนโลยีอย่างสูญเปล่าด้วย Oracle Cloud Infrastructure (Gen 2)

Oracle ขอเชิญเหล่าผู้บริหารและผู้ปฏิบัติงานด้าน IT เข้าฟังบรรยาย Oracle Webinar เรื่อง “ลดการลงทุนด้านเทคโนโลยีอย่างสูญเปล่าด้วย Oracle Cloud Infrastructure” พร้อมแนะนำการทำ Application Modernization เพื่อพลิกโฉมธุรกิจในยุค New Normal ในวันอังคารที่ 18 สิงหาคม 2020 เวลา 14:00 น. ผ่าน Live Webinar ฟรี