Breaking News

Samsung ออกแพตช์ช่องโหว่ Zero-days กระทบกับสมาร์ทโฟนตั้งแต่ปี 2014 แนะผู้ใช้เร่งอัปเดต

Mateusz Jurczyk นักวิจัยด้านความมั่นคงปลอดภัยจาก Google Project Zero ได้สาธิตการค้นพบช่องโหว่กับสมาร์ทโฟนจาก Samsung ซึ่งรองรับมาตั้งแต่ปี 2014 โดยปัจจุบันได้มีการแพตช์แล้ว จึงขอให้ผู้ใช้งานเร่งอัปเดต

ช่องโหว่ Zero-days มีหมายเลขอ้างอิงแล้วคือ CVE-2020-8899 ทั้งนี้เกิดขึ้นกับวิธีการจัดการรูปภาพแบบ Qmage (.qmg มีการรองรับตั้งแต่มือถือปี 2014) ที่ถูกดัดแปลงขึ้นของไลบรารี่ Skia โดย Jurczyk ชี้ว่าช่องโหว่สามารถถูกใช้ได้โดยไม่ต้องเกี่ยวข้องกับผู้ใช้งานเลย เนื่องจากแอนดรอยด์จะ Redirect ภาพทั้งหมดมาให้ไลบรารี่ประมวลผล เช่น Thumbnail Preview เป็นต้น

นอกจากนี้ยังได้สาธิตการโจมตีผ่าน MMS (วีดีโอด้านบน) ด้วยการเดาตำแหน่งของไลบรารี่ในหน่วยความจำของแอนดรอยด์เพื่อเอาชนะการป้องกันของ ASLR (Address Space Layout Randomization) อย่างไรก็ดีแม้ว่าการโจมตีจะมีการส่ง MMS จำนวนมากราว 50-300 ข้อความแต่ Jurczyk และกระบวนการโจมตีกินเวลากว่า 100 นาที แต่ Jurczyk กล่าวถึงเพิ่มเติมว่าตนได้พบวิธีการที่จะดัดแปลงให้ไม่เกิดการแจ้งเตือนเสียงบนแอนดรอยด์ด้วยที่ทำให้การโจมตีมีความแนบเนียนได้มากขึ้น

ที่มา : https://www.zdnet.com/article/samsung-patches-0-click-vulnerability-impacting-all-smartphones-sold-since-2014/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

แนะนำ Eaton 9E UPS: อุปกรณ์สำรองไฟอเนกประสงค์สำหรับธุรกิจขนาด 1000-3000VA

เมื่อการใช้เทคโนโลยีเข้ามามีบทบาทในการทำงานมาก และการทำงานเฉพาะทางหลายประเภทก็ต้องอาศัยอุปกรณ์หรือเครื่องมือที่ต้องใช้ไฟฟ้าในการทำงาน UPS หรืออุปกรณ์สำรองไฟฟ้าก็กลายเป็นสิ่งที่จำเป็นต่อธุรกิจให้ดำเนินต่อไปได้อย่างไม่สะดุด และ Eaton เองก็มีอุปกรณ์ UPS รุ่นเล็กอเนกประสงค์สำหรับใช้งานในภาคธุรกิจโดยเฉพาะ อย่าง Eaton 9E UPS ซึ่งบทความนี้เราจะมาแนะนำให้ทุกท่านรู้จักกันครับ

SAS Webinar: ส่องอนาคตปี 2030: 5 เทคโนโลยีสำคัญที่ช่วยขับเคลื่อนการพัฒนา Customer Experience

SAS ขอเชิญเหล่าผู้บริหารและผู้ปฏิบัติงานด้าน IT และ Data Science เข้าฟังบรรยาย SAS Webinar เรื่อง “ส่องอนาคตปี 2030: 5 เทคโนโลยีสำคัญที่ช่วยขับเคลื่อนการพัฒนา Customer Experience” พร้อมอัปเดตแนวโน้มของผู้บริโภคและผู้ประกอบการล่าสุดในอีก 10 ปีข้างหน้า เพื่อให้องค์กรสามารถเตรียมการด้าน Analytics ได้อย่างมีประสิทธิภาพ ในวันอังคารที่ 11 สิงหาคม 2020 เวลา 14:00 น. ผ่าน Live Webinar ฟรี