พบช่องโหว่ Zero-day บน Apple iMessage ช่วยถอดรหัสข้อมูล เข้าถึงรูปถ่ายบน iCloud

March 22, 2016 Apple, Cybersecurity, Data Security and Privacy, Endpoint Security, Mobile Enterprise, Mobile Security, Products, Threats Update

ทีมนักวิจัยจากมหาวิทยาลัย Johns Hopkins นำโดยศาสตราจารย์ Matthew Green จากภาควิชาวิทยาศาสตร์คอมพิวเตอร์ ค้นพบช่องโหว่ Zero-day ในการเข้ารหัสข้อมูลบน iMessage ของ iPhone/iPad ช่วยให้แฮ็คเกอร์สามารถดักจับข้อมูลที่ส่งหากันและถอดรหัสเพื่อเข้าถึงรูปภาพที่เก็บอยู่บนเซิฟเวอร์ iCloud ได้

Credit: CNET.com
Credit: CNET.com

ช่องโหว่บน Apple iOS ก่อนหน้าเวอร์ชัน 9.3

ตามรายงานของหนังสือพิมพ์ Washington Post เมื่อสุดสัปดาห์ที่ผ่านมา ระบุว่า ทีมนักวิจัยประสบความสำเร็จในการโจมตี iPhone ที่ไม่ได้ใช้งาน iOS เวอร์ชันล่าสุด โดยพัฒนาซอฟต์แวร์ที่เลียนแบบการทำงานของเซิฟเวอร์ของ Apple เพื่อดักจับข้อความ iMessage ที่ประกอบด้วยลิงค์ของรูปภาพที่เก็บอยู่บนเซิฟเวอร์ iCloud และ Key ขนาด 64 หลักสำหรับถอดรหัสรูปภาพดังกล่าว

ใช้วิธีการเดา Key แบบสุ่มไปเรื่อยๆ

ที่จริงแล้วตัวเลขและตัวอักษรของ Key ที่ใช้เข้ารหัสไม่สามารถมองเห็นได้ แต่ช่องโหว่ Zero-day นี้ช่วยให้นักวิจัยสามารถเดา Key จากการสุ่มตัวเลขและตัวอักษรส่งไปยัง iPhone ซ้ำๆ (Brute Force Attack) ถ้าพบเลขหรือตัวอักษรที่ถูกต้อง iPhone จะ Accept เลขหรือตัวอักษรนั้น ในขณะที่ถ้าไม่ถูกต้องก็จะถูก Reject หลังจากที่ทำการเดา Key ไปเรื่อยๆ ก็จะได้ตัวเลขและตัวอักษรทั้งหมดที่ประกอบกันเป็น Key ในการเข้ารหัส

ศาสตราจารย์ Matthew ยังระบุอีกว่า การโจมตีช่องโหว่ Zero-day นี้ยังคงใช้ได้ผลบน Apple iOS เวอร์ชันล่าสุด แต่จำเป็นต้องใช้นักเจาะระบบที่มีทักษะสูง และได้รับการสนับสนุนจากหน่วยงานรัฐบาลจึงจะโจมตีได้สำเร็จ

ช่องโหว่ไม่ได้เกิดจากวิธีการจัดเก็บหรือเข้ารหัสข้อมูลของ Apple

iMessage ของ Apple เป็นแอพพลิเคชันสำหรับรับส่งข้อความและรูปภาพที่มีการเข้ารหัสแบบ End-to-end นั่นหมายความว่า Apple เองก็ไม่ได้มีการเก็บกุญแจสำหรับเจ้ารหัสแต่อย่างใด แต่กุญแจสำหรับเข้ารหัสถูกเก็บไว้อยู่บน iPhone/iPad ซึ่งถือว่าเป็นแนวทางปฏิบัติที่ดี แต่แนวทางปฏิบัตินี้กลับกลายเป็นจุดอ่อนให้แฮ็คเกอร์สามารถโจมตีเพื่อเข้าถึงข้อมูลได้แทน

ช่องโหว่ดังกล่าวถูกแก้ไขไปบางส่วนใน iOS เวอร์ชัน 9 เมื่อปลายปี 2015 ที่ผ่านมา แต่จะถูกแก้ไขทั้งหมดใน iOS 9.3 ที่เปิดให้อัพเดทไปเมื่อวานนี้ (วันจันทร์ที่ 21 มีนาคม) แนะนำให้ผู้ใช้อุปกรณ์ของ Apple อัพเดทแพทช์เพื่ออุดช่องโหว่โดยเร็ว

ที่มา: https://www.helpnetsecurity.com/2016/03/21/ios-zero-day-breaks-imessage-encryption/

Tags

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Salesforce เข้าซื้อกิจการ Fin มูลค่าราว 3,600 ล้านดอลลาร์ เสริมแกร่ง AI Agent งานบริการลูกค้า

Salesforce ประกาศลงนามข้อตกลงขั้นสุดท้ายเข้าซื้อกิจการ Fin ผู้ให้บริการแพลตฟอร์ม customer agent ในมูลค่าราว 3,600 ล้านดอลลาร์สหรัฐ เพื่อนำเทคโนโลยี AI Agent สำหรับงานบริการลูกค้ามาเสริมความสามารถให้กับ Agentforce

Ericsson เปิดตัวโซลูชัน AI in RAN ยกระดับ 5G ไปอีกขั้นด้วยโครงข่ายที่ฝัง AI อยู่ภายใน

Ericsson เปิดตัว AI in RAN ซอฟต์แวร์แบบ Subscription ล่าสุดที่ฝัง AI ลงในแพลตฟอร์ม Radio Access Network (RAN) โดยตรง …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand