Breaking News

สมาร์ทโฟนกว่า 11 ยี่ห้ออาจถูกโจมตีด้วย AT Command ได้

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจากมหาวิทยาลัยฟลอริด้า, มหาวิทยาลัย Stony Brook University และ Samsung Research America ผนึกกำลังกันศึกษาพบว่าสมาร์ทโฟนที่เป็น OEM Android หลายยี่ห้อมีช่องโหว่จากการโจมตีด้วย AT Command ได้ เช่น ASUS, Google, HTC, Huawei, Lenovo, LG, LineageOS, Motorola, Samsung, Sony และ ZTE เป็น

Credit: CLIPAREA/ShutterStock

AT (ATtension) Command หรือ Hayes Command set (ถูกคิดมาตั้งแต่ 1981) คือชุดคำสั่ง String สั้นๆ ที่ถูกออกแบบมาเพื่อควบคุมโมเดมและสามารถส่งผ่านทางสายโทรศัพท์ได้ โดยชุดคำสั่งนี้สามารถจับรวมกันเพื่อบอกให้โมเดลทำการเชื่อมต่อ วางสายหรือเปลี่ยนพารามิเตอร์ในการเชื่อมต่อใหม่ได้ ประเด็นคือผู้ผลิตสมาร์ทโฟนปัจจุบันก็มีการรองรับคำสั่งเหล่านี้เพื่อประโยชน์ในการเชื่อมต่ออินเทอร์เน็ตผ่านฟังก์ชันโทรศัพท์ได้และอื่นๆ อันที่จริงแล้วก็มีชุดคำสั่งมาตรฐานที่สมาร์ทโฟนทั่วไปต้องรับได้อยู่ แต่หลายผู้ผลิตก็ทำเกินกว่านั้นโดยเพิ่มคำสั่งขั้นสูงเข้าไปในอุปกรณ์ของตัวเอง ดังนั้นจึงเป็นเหตุให้มีอันตรายจากคำสั่ง เช่น ฟีเจอร์ที่เกี่ยวกับอินเทอร์เฟสการทัชสกรีน หรือ ตัวกล้องและอื่นๆ

หลังจากนักวิจัยได้ศึกษาในประเด็นที่ว่าอุปกรณ์ Android ปัจจุบันรองรับคำสั่ง AT ชนิดไหนบ้างจากอิมเมจเฟิร์มแวร์กว่า 2,000 ตัวก็พบว่ามีคำสั่งกว่า 3,500 ชนิดที่มีบางส่วนได้รับสิทธิ์ในการใช้งานที่อาจจะส่งผลร้ายแรง ในส่วนของข้อกำหนดในการใช้งานคือคำสั่ง AT สามารถทำได้ผ่านอินเทอร์เฟส USB ของโทรศัพท์และต้องเปิดฟังก์ชัน Debugging บน USB ไว้ด้วยเท่านั้น จากนั้นตัวอย่างสถานการณ์เช่น ผู้โจมตีอาจจะซ่อนส่วนประกอบอันตรายไว้ในที่ชาร์จหรือตามจุดชาร์จต่างๆ หากเข้าถึงตัว USB ได้จริงผู้ร้ายสามารถใช้คำสั่งไปยังมือถือเหยื่อเพื่อเขียนทับเฟิร์มแวร์ บายพาสความมั่นคงปลอดภัยของ Android นำข้อมูลละเอียดอ่อนของมือถือออกมา ปลดล็อคหน้าจอ เป็นต้น

นักวิจัยได้แจ้งค่ายมือถือที่เกี่ยวของแล้วและนับเป็นโชคดีที่คำสั่ง AT เหล่านี้ไม่สามารถหาเอกสารได้ง่ายๆ ทั่วไป และงานต่อไปคือนักวิจัยกำลังเล็งทดสอบคำสั่ง AT กับอุปกรณ์ค่าย Apple รวมทั้งหากสามารถใช้คำสั่ง AT ผ่านทางไกล เช่น WiFi หรือ Bluetooth ได้ก็อาจจะทำต่อด้วย ผู้สนใจสามารถดูโมเดลของมือถือค่ายต่างๆ ที่ได้รับผลกระทบได้ที่นี่ และคำสั่ง Shell Script ที่นักวิจัยใช้ระหว่างการทดลองไว้ที่นี่ด้วย หากต้องการศึกษาหัวข้อเต็มก็ไปอ่านได้ที่ “ATtention Spanned : Comprehensive Vulnerability Analysis of AT Commands Within the Android Ecosystem

คลิปสาธิตการโจมตีกับ LG G4

ที่มา : https://www.bleepingcomputer.com/news/security/smartphones-from-11-oems-vulnerable-to-attacks-via-hidden-at-commands/




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เชิญร่วมงานสัมมนา CDIC 2018 ลงทะเบียนวันนี้รับส่วนลดทันที 10%

Software Park Thailand และ ACIS Professional Center ร่วมกับเหล่าพันธมิตร ขอเชิญผู้ที่สนใจเข้าร่วมงานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์ที่ยิ่งใหญ่ที่สุดในประเทศไทยและภูมิภาคอาเซียน “Cyber Defense Initiative Conference (CDIC) 2018” …

นักวิจัยชี้ช่องโหว่ใหม่ในการโจมตีด้วย CSS ทำให้ iPhone รีสตาร์ทหรือ Mac ค้างได้

Sabri Haddouche นักวิจัยด้านความมั่นคงปลอดภัยจาก Wire ได้เผยถึงการโจมตีด้วย CSS สามารถทำให้ iOS เกิดการรีสตาร์ทหรือทำให้เครื่อง Mac ค้างได้ เพียงแค่ผู้ใช้งานเข้าไปเว็บเพจที่มีการใช้งาน CSS และ HTML …