Breaking News

Trend Micro เผย อุปกรณ์ IoT กว่า 6.1 ล้านเครื่องมีช่องโหว่มานานกว่า 3 ปี

trend_micro_logo_h50

Trend Micro ผู้ให้บริการโซลูชันด้านความปลอดภัยชื่อดังของโลก ได้ออกมาเปิดเผยว่า ซอฟต์แวร์ของอุปกรณ์ Internet of Things (IoT) ในปัจจุบันนี้ ไม่ว่าจะเป็น สมาร์ททีวี เราท์เตอร์ สมาร์ทโฟน และอุปกรณ์ที่สามารถเชื่อมต่ออินเทอร์เน็ตได้อื่นๆ กว่า 6.1 ล้านเครื่อง มีช่องโหว่ที่ถูกทิ้งค้างไว้นานกว่า 3 ปี (ตั้งแต่ปี 2012) โดยที่ยังไม่มีเจ้าของผลิตภัณฑ์ออกมาแพทช์เพื่ออุดช่องโหว่

trend_micro_shellshock_0

เกิดจาก Buffer Overflow บน SDK สำหรับ UPnP

ช่องโหว่ที่ Trend Micro ค้นพบ คือ การรันโค้ดคำสั่งจากระยะไกล (Remote Code Execution) ซึ่งเป็นช่องโหว่ใน Component ของ Portable SDK สำหรับ UPnP หรือ libupnp ชุดคำสั่งที่ใช้ในอุปกรณ์โมบายล์ เช่น สมาร์ทโฟนและแท็บเล็ต เราท์เตอร์ สมาร์ททีวี และอุปกรณ์ IoT อื่นๆ สำหรับใช้รับส่งไฟล์วิดีโอผ่านระบบเครือข่าย

ช่องโหว่นี้มีสาเหตุมาจาก Buffer Overflow ในโปรโตคอล SSDP (Simple Service Discovery Protocol) ส่งผลให้แฮ็คเกอร์สามารถเข้าควบคุมอุปกรณ์เป้าหมายที่รัน SDK เวอร์ชันที่มีช่องโหว่อยู่ได้ทันที ซึ่งช่องโหว่นี้ถูกค้นพบเมื่อปี 2012 แต่ยังคงมีหลายแอพพลิเคชันที่ยังใช้ชุดคำสั่งที่มีช่องโหว่นี้อยู่ อุปกรณ์ที่ใช้แอพพลิเคชันเหล่านี้อาจเสี่ยงถูกแฮ็คเกอร์โจมตีได้ทันที

พบช่องโหว่บน 547 แอพ ซึ่ง 326 แอพในนั้นเปิดให้ดาวน์โหลดผ่าน Google Play Store

แอพพลิเคชันที่ได้รับผลกระทบมากที่สุด คือ QQMusic ซึ่งมีชาวจีนใช้กว่า 100 ล้านคนผ่านการดาวน์โหลดจาก Google Play Store อย่างไรก็ตาม นักพัฒนาแอพพลิเคชันดังกล่าวได้ทำการอุดช่องโหว่เป็นที่เรียบร้อย ช่องโหว่นี้คาดว่าส่งผลกระทบต่อแอพพิลเคชันของ Netflix ที่มีผู้ใช้หลายล้านคนด้วยเช่นเดียวกัน นอกจากนี้ยังส่งผลกระทบต่อแอพพลิเคชันยอดนิยมอื่นๆอีกมากมาย เช่น nScreen Mirroring สำหรับซัมซุง Camera Access Plus และ Smart TV Remote เป็นต้น

รายชื่อของแอพพลิเคชันยอดนิยมส่วนหนึ่งที่ได้รับผลกระทบดังกล่าว

trend_micro_iot_vul_1

ที่มา: http://thehackernews.com/2015/12/iot-mobile-security.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Apple จับมือ Google พัฒนาระบบแจ้งเตือนความเสี่ยง COVID-19 บน iPhone และ Android

เพื่อรับมือกับ COVID-19 ที่กำลังแพร่ระบาดทั่วโลกในเวลานี้ Apple จึงได้จับมือกับ Google เพื่อพัฒนาให้ Smartphone ของตนเองนั้นสามารถแจ้งเตือนผู้ใช้งานได้หากผู้ใช้งานคนนั้นเคยมีประวัติเข้าใกล้ผู้ที่ติด COVID-19

TechTalk Webinar: Digital Workforce: The game changer now and COVID afterward โดย STelligence

TechTalkThai ขอเรียนเชิญ CIO, CTO, COO, IT Manager, ผู้จัดการในส่วนต่างๆ ของธุรกิจ, ผู้ดูแลระบบ IT, และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "Digital Workforce: The game changer now and COVID afterward โดย STelligence" เพื่อร่วมรับฟังถึงทิศทางในอนาคตของโลกธุรกิจจากการมาของ Digital Workforce ที่จะเปลี่ยนวิธีการทำงานไปอย่างสิ้นเชิง พร้อมแนะนำเทคโนโลยีที่เกี่ยวข้อง ในวันศุกร์ที่ 17 เมษายน 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้