TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ในงาน RSA 2016 นักวิจัยจาก Skycure ได้เปิดเผยถึงวิธีการใช้ Malware โจมตี Google Android และ Apple iOS Device ได้โดยไม่ถูกบล็อคจากผู้ผลิตทั้งสอง นั่นก็คือการใช้ Facebook แทน Command & Control Server นั่นเอง
ถึงแม้ Android และ iOS ต่างก็มีวิธีการตรวจสอบว่า App ต่างๆ ได้ทำการเชื่อมต่อไปยัง IP Address ที่อันตรายหรือเปล่า และถ้าหากพบว่าการเชื่อมต่อของ App เหล่านั้นเกิดขึ้นไปยัง Server ที่อันตราย ทั้ง Google และ Apple ต่างก็จะไม่ยอมปล่อยให้ App เหล่านั้นปรากฎสู่ Store แต่การเชื่อมต่อไปยัง Facebook นั้นกลับไม่ได้ถูกตรวจสอบแต่อย่างใด
เหล่านักวิจัยจึงได้ทำการทดลองด้วยการสร้าง Facebook Profile ใหม่ขึ้นมา และนำ Payload ของ Command ต่างๆ ที่ต้องการใช้เพื่อรันคำสั่งต่างๆ บน Android และ iOS เอาไปไว้บน Facebook Profile นั้น และทำการสร้าง Mobile App ที่เชื่อมต่อไปยัง Facebook เพื่อเรียกคำสั่งเหล่านั้นมาใช้งาน และพบว่าทั้ง Google และ Apple ต่างก็ปล่อย App นี้ให้ลงสู่ Store ได้เสมือนเป็น App ที่ปลอดภัย ซึ่งแนวคิดนี้ก็ได้กลายเป็นช่องทางหนึ่งในการทะลวงระบบรักษาความปลอดภัยของทั้งสองบริษัทยักษ์ใหญ่ ด้วยการใช้บริษัทยักษ์ใหญ่ด้วยกันนั่นเอง
ในแง่การทดลองโจมตี นักวิจัยจาก Skycure ได้สร้าง App ที่แอบซ่อนโค้ดอันตรายที่ทำการปลอมแปลงหรือห่อโค้ดเหล่านั้นเอาไว้เป็นอย่างดีจนไม่สามารถตรวจจับได้ และตั้งเงื่อนไขต่างๆ เช่น เวลา, สถานที่ หรืออื่นๆ ที่จะทำการเรียกอ่านคำสั่งจาก Facebook Profile เพื่อมาแกะโค้ดที่เตรียมใช้ในการโจมตีต่อที่แอบซ่อนอยู่ใน App เหล่านี้ได้เมื่อเงื่อนไขที่กำหนดเอาไว้เป็นจริงขึ้นมานั่นเอง
นับว่างานวิจัยนี้เป็นอีกแนวทางที่น่าสนใจมากถึงแม้จะพิศดารไปหน่อยก็ตาม เพราะถ้าหากทั้ง Android และ Google ต้องการที่จะป้องกันการโจมตีด้วยวิธีการแบบนี้ ความร่วมมือจาก Facebook เองก็ถือเป็นสิ่งสำคัญ แต่การตรวจสอบทุก Status ว่าเป็น Payload สำหรับใช้โจมตีหรือไม่นั้นก็เป็นเรื่องยากสำหรับ Facebook เช่นกัน
ที่มา: http://www.theregister.co.uk/2016/03/03/facebook_command_control_malware/
