TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Trend Micro ผู้ให้บริการโซลูชันด้านความปลอดภัยชื่อดังของโลก ได้ออกมาเปิดเผยว่า ซอฟต์แวร์ของอุปกรณ์ Internet of Things (IoT) ในปัจจุบันนี้ ไม่ว่าจะเป็น สมาร์ททีวี เราท์เตอร์ สมาร์ทโฟน และอุปกรณ์ที่สามารถเชื่อมต่ออินเทอร์เน็ตได้อื่นๆ กว่า 6.1 ล้านเครื่อง มีช่องโหว่ที่ถูกทิ้งค้างไว้นานกว่า 3 ปี (ตั้งแต่ปี 2012) โดยที่ยังไม่มีเจ้าของผลิตภัณฑ์ออกมาแพทช์เพื่ออุดช่องโหว่
เกิดจาก Buffer Overflow บน SDK สำหรับ UPnP
ช่องโหว่ที่ Trend Micro ค้นพบ คือ การรันโค้ดคำสั่งจากระยะไกล (Remote Code Execution) ซึ่งเป็นช่องโหว่ใน Component ของ Portable SDK สำหรับ UPnP หรือ libupnp ชุดคำสั่งที่ใช้ในอุปกรณ์โมบายล์ เช่น สมาร์ทโฟนและแท็บเล็ต เราท์เตอร์ สมาร์ททีวี และอุปกรณ์ IoT อื่นๆ สำหรับใช้รับส่งไฟล์วิดีโอผ่านระบบเครือข่าย
ช่องโหว่นี้มีสาเหตุมาจาก Buffer Overflow ในโปรโตคอล SSDP (Simple Service Discovery Protocol) ส่งผลให้แฮ็คเกอร์สามารถเข้าควบคุมอุปกรณ์เป้าหมายที่รัน SDK เวอร์ชันที่มีช่องโหว่อยู่ได้ทันที ซึ่งช่องโหว่นี้ถูกค้นพบเมื่อปี 2012 แต่ยังคงมีหลายแอพพลิเคชันที่ยังใช้ชุดคำสั่งที่มีช่องโหว่นี้อยู่ อุปกรณ์ที่ใช้แอพพลิเคชันเหล่านี้อาจเสี่ยงถูกแฮ็คเกอร์โจมตีได้ทันที
พบช่องโหว่บน 547 แอพ ซึ่ง 326 แอพในนั้นเปิดให้ดาวน์โหลดผ่าน Google Play Store
แอพพลิเคชันที่ได้รับผลกระทบมากที่สุด คือ QQMusic ซึ่งมีชาวจีนใช้กว่า 100 ล้านคนผ่านการดาวน์โหลดจาก Google Play Store อย่างไรก็ตาม นักพัฒนาแอพพลิเคชันดังกล่าวได้ทำการอุดช่องโหว่เป็นที่เรียบร้อย ช่องโหว่นี้คาดว่าส่งผลกระทบต่อแอพพิลเคชันของ Netflix ที่มีผู้ใช้หลายล้านคนด้วยเช่นเดียวกัน นอกจากนี้ยังส่งผลกระทบต่อแอพพลิเคชันยอดนิยมอื่นๆอีกมากมาย เช่น nScreen Mirroring สำหรับซัมซุง Camera Access Plus และ Smart TV Remote เป็นต้น
รายชื่อของแอพพลิเคชันยอดนิยมส่วนหนึ่งที่ได้รับผลกระทบดังกล่าว
ที่มา: http://thehackernews.com/2015/12/iot-mobile-security.html
