XARA: ช่องโหว่ Keychain บน OS X และ iOS เสี่ยงถูกขโมยรหัสผ่าน

ทีมนักวิจัยจาก Indiana University Bloomington, Peking University และ Georgia Tech ได้เผยแพร่เอกสารวิชาการเกี่ยวกับช่องโหว่ร้ายแรงที่ค้นพบบนระบบปฏิบัติการ Mac OS X และ Apple iOS ที่ช่วยให้แฮ็คเกอร์สามารถเข้าถึงข้อมูลสำคัญ เช่น ข้อมูลล็อคอิน ผ่านทางแอพพลิเคชันไม่พึงประสงค์ (Malicious App) ได้

Credit: Julia Tim/ShutterStock
Credit: Julia Tim/ShutterStock

รหัสผ่านบน Keychain เสี่ยงถูกขโมย

ทีมนักวิจัยค้นพบว่า เซอร์วิสที่สนับสนุนแอพพลิเคชัน ได้แก่ Keychain, WebSocket และ NSConnection บน OS X และ iOS อาจถูกโจมตีโดยมัลแวร์เพื่อขโมยข้อมูลที่เป็นความลับได้ เช่น รหัสผ่านสำหรับ iCloud, อีเมลล์, ธนาคาร หรือ Token ลับสำหรับ Evernote เป็นต้น

อธิบายในเชิงลึก คือ แนวคิด App Sandbox ของ OS X มีช่องโหว่ที่ส่งผลให้ไดเร็คทอรี่ส่วนบุคคล (Private Directory) ถูกเข้าถึงได้โดย Sandboxed Malware ที่ทำการไฮแจ็ค Apple Bundle ID ผลลัพธ์ที่ได้ คือ ข้อมูลความลับของผู้ใช้ เช่น โน๊ตและ Contact ของผู้ใช้บน Evernote หรือรูปภาพภายใน WeChat สามารถถูกขโมยออกไปได้ การโจมตีรูปแบบดังกล่าวถูกเรียกว่า Cross-app Resource Access หรือ XARA

ปัญหาเกิดจากการพิสูจน์ตัวตนของแอพ

ทีมนักวิจัยระบุว่า ต้นตอสาเหตุของช่องโหว่นี้เกิดจาก OS และแอพพลิเคชันมีระบบการพิสูจน์ตัวตนไม่ดีเพียงพอ ส่งผลให้ Sandboxed Malware ที่ปลอมตนเองเป็น Sandboxed App สามารถหลอก Keychain ว่าเป็นแอพพลิเคชันทั่วไปที่ใช้งานอยู่ ทำให้สามารถเข้าถึงรหัสผ่านและ Token ที่ใช้ล็อกอิน iCloud, อีเมลล์ และ Social Network ที่เก็บอยู่ในระบบ Keychain ได้ ซึ่งจากการทดสอบแอพพลิเคชันบน Mac OS X มากกว่า 1,600 แอพ และมากกว่า 200 แอพพลิเคชันบน iOS พบว่า 88.6% สามารถโจมตีแบบ XARA ได้ประสบความสำเร็จ

xara_types

ตัวอย่างการโจมตี XARA บน Keychain

ยังคงหาทางอุดช่องโหว่กันอยู่

ทาง Apple และผู้ให้บริการแอพพลิเคชันหลากหลายประเภทได้รับแจ้งเรื่องช่องโหว่การโจมตี XARA ตั้งแต่เดือนตุลาคมปี 2014 ซึ่งบางผู้บริการก็ได้ออกคำแนะนำและวิธีการเพื่อป้องกันช่องโหว่ดังกล่าวแล้ว แต่ยังไม่สามารถแก้ไขช่องโหว่นี้ได้ 100%

อ่านเอกสารวิชาการได้ที่: http://arxiv.org/pdf/1505.06836v1.pdf


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Blendata Coding Star 2022 มาร่วมค้นหา High Performance Data Engineer ตัวจริง เวทีที่คนสาย Data ห้ามพลาด! [20ส.ค.-10ก.ย.นี้]

Blendata ร่วมกับ TGGS จัดกิจกรรม Blendata Coding Star 2022: High Performance Data Engineer เวทีที่คนสาย Data ห้ามพลาด! …

Sophos Webinar: Getting Started With Threat Hunting

Sophos ขอเรียนเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT Security เข้าร่วมงานสัมมนา Sophos Webinar เรื่อง "Getting Started With Threat Hunting" พร้อมแนะนำเครื่องมือ กรอบการทำงาน และแนวทางการค้นหาและไล่ล่าภัยคุกคามที่แฝงอยู่ในระบบเครือข่ายขององค์กร ในวันพุธที่ 24 สิงหาคม 2022 เวลา 14:00 น. ผ่านทาง Live Webinar