ADPT

พบบั๊กช่วยสามารถสอดแนมผู้ใช้ปลายทางกระทบแอป Facebook Messenger และ Google Duo

Natalie Silvanovich ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Google Project Zero ได้พบช่องโหว่ที่ช่วยให้ผู้โทรสามารถได้รับแพ็กเกจของฝั่งผู้รับได้ก่อนรับสาย โดยมีหลายแอปพลิเคชันที่ได้รับผลกระทบนี้ประกอบด้วย Facebook Messenger, Google Duo, Signal, JioChat และ Mocha

Credit: ShutterStock.com

Silvanovich ได้ค้นพบบั๊กในลอจิกของแอปพลิเคชันเหล่านั้น โดยเขาเล่าว่า “ผมได้ไล่ดู State Machine ของแอปพลิเคชันประชุมทางไกล 7 ตัวพบว่ามี 5 ตัวมีช่องโหว่ที่อนุญาตให้ผู้รับมีการส่งข้อมูลเสียงหรือวีดีโอกลับมาก่อนที่จะรับสาย” ซึ่งบั๊กในแอปพลิเคชันต่างๆ มีดังนี้

  • Signal – มีการส่งเสียงกลับมาได้ ได้รับการแพตช์แล้วตั้งแต่กันยายน 2019
  • Google Duo – เปิดเผยแพ็กเก็ตวีดีโอ แพตช์เมื่อธันวาคมที่ผ่านมา
  • Facebook Messenger – มีการเชื่อมต่อเสียงก่อนกดรับ แพตช์แก้ไขแล้วในเดือนพฤศจิกายน
  • JioChat – มีการเปิดเผยเสียงก่อนเช่นกัน แต่มีแพตช์แก้ไขแล้ว
  • Mocha – มีการเปิดเผยทั้งเสียงและวีดีโอ โดยมีแพตช์แก้ไขแล้ว

อย่างไรก็ดีผู้เชี่ยวชาญไม่พบปัญหาในแอปอื่นอย่าง Viber และ Telegram แต่ตัวเขาเองยังไม่ได้ทดสอบกับฟีเจอร์ Group Calling ในแอปพลิเคชันต่างๆ ผู้สนใจสามารถอ่านเรื่องราวจากบล็อกของ Google ได้ที่ https://googleprojectzero.blogspot.com/2021/01/the-state-of-state-machines.html

ที่มา : https://www.bleepingcomputer.com/news/security/bugs-in-signal-facebook-google-chat-apps-let-attackers-spy-on-users/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video Webinar] สร้างความมั่นคงปลอดภัยให้ระบบ IT ด้วย Sophos Managed Threat Response

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยายSophos Webinar เรื่อง “สร้างความมั่นคงปลอดภัยให้ระบบ IT ด้วย Sophos Managed Threat Response” พร้อมอัปเดตแนวโน้มภัยคุกคามล่าสุดและการวางกลยุทธ์ด้านความมั่นคงปลอดภัยอย่างมีประสิทธิภาพ ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

สรุปงานสัมมนาออนไลน์ VMware : Bring Together Cloud Networking and Cloud Security

เมื่อสภาพแวดล้อมการทำงานขององค์กรเริ่มเปลี่ยนไป ทั้งในด้านแอปพลิเคชัน อุปกรณ์ ซึ่งตามมาด้วยปัญหาด้าน Security สมัยเก่าที่ไม่สามารถรองรับการใช้งานในรูปแบบใหม่ได้ ด้วยเหตุนี้จึงถือกำเนิดแนวคิดของเทคโนโลยีใหม่ขึ้นที่ชื่อ SASE หรือ Secure Access Service Edge ในมุมของ VMware …