Citizen Lab รายงานการใช้มัลแวร์ Pegasus ในไทย พบมาตั้งแต่ปี 2014 ระบุยังมีเซิร์ฟเวอร์ทำงานอยู่

เมื่อวานนี้ iLaw เปิดรายงานการใช้มัลแวร์ Pegasus ในประเทศไทย ทาง Citizen Lab ที่ร่วมสอบสวนเหตุการณ์ครั้งนี้ก็ออกรายงานของตัวเองมาเหมือนกัน โดยนอกจากจะมีลำดับเหตุการณ์เหมือนกับรายงานของ iLaw แล้วก็ยังมีข้อมูลของเซิร์ฟเวอร์ Pegasus ที่ใช้ควบคุมมัลแวร์เหล่านี้เพิ่มเติมเข้ามา อย่างไรก็ดีทาง Citizen Lab ไม่ได้ยืนยันตรงๆ ว่าโทรศัพท์ของนักกิจกรรมในไทยถูกควบคุมผ่านเซิร์ฟเวอร์เหล่านี้หรือไม่

เซิร์เวอร์ที่ Citizen Lab พบเปิดใช้งานมาแล้วตั้งแต่ปี 2014 โดยเซิร์ฟเวอร์เหล่านี้มีชื่อโดเมนที่ชื่อเกี่ยวกับประเทศไทยชี้ไปยังเซิร์ฟเวอร์เหล่านั้น เมื่อสืบกลับไปถึงผู้จดโดเมนก็จะพบว่าอีเมลหนึ่งที่ใช้จดโดเมนคือ [เซ็นเซอร์].nsb18@gmail.com ในขณะที่อีเมลอีกอันหนึ่งที่ใช้จดโดเมนถูกนำไปสมัครเฟซบุ๊กด้วยชื่อผู้ใช้ “Nsbtest Nsbtest” อาจแสดงให้เห็นว่ากลุ่มปฎิบัติการนี้เรียกชื่อหน่วยงานตัวเองว่า NSB และตอนนี้ยังมีเซิร์ฟเวอร์อย่างน้อยหนึ่งชุดที่เปิดทำการอยู่

ทาง Citizen Lab ระบุว่าหลักฐานที่ได้จากการตรวจสอบโทรศัพท์ยังไม่ชี้ชัดว่าเป็นหน่วยงานใดที่เป็นผู้ใช้มัลแวร์ Pegasus กับนักกิจกรรมในไทย แต่หลักฐานแวดล้อมก็แสดงให้เห็นว่าน่าจะเป็นหน่วยงานของรัฐบาลไทย เนื่องจากเหยื่อเป็นกลุ่มผู้สนใจรัฐบาลไทยอย่างมาก, การแฮกอาศัยเครื่องมือประสิทธิภาพสูง ต้องใช้เงินทุนสูงมาก, เหตุการณ์แฮกแต่ละครั้งเกี่ยวพันกับเหตุการณ์ในการเมืองไทย, และคาดว่ารัฐบาลไทยจะมี Pegasus ใช้งานมาเป็นเวลานานแล้ว

สำหรับการวิเคราะห์โทรศัพท์ที่ถูกแฮก ทาง Citizen Lab วิเคราะห์ช่วงเวลาจากข้อมูลในโทรศัพท์ และเครื่องบางส่วนให้ Security Lab ของ Amnesty International ตรวจสอบซ้ำเพื่อยืนยันว่าได้ผลตรงกัน

ที่มา – Citizen Lab

Topics: 

Citizen Lab

Thailand

NSO Group

from:https://www.blognone.com/node/129424

Citizen Lab พบมัลแวร์จากบริษัทอิสราเอล ถูกใช้โจมตีนักการเมือง, สื่อ, นักสิทธิมนุษยชน

Citizen Lab ร่วมมือกับไมโครซอฟท์วิเคราะห์มัลแวร์จากบริษัท Candiru ในอิสราเอล โดยไมโครซอฟท์เรียกกลุ่มมัลแวร์นี้ว่า SOURGUM ให้บริการมัลแวร์ DevilsTongue ในรูปแบบ hacking-as-a-service แก่รัฐบาลทั่วโลก

ไมโครซอฟท์พบว่าเหยื่อของมัลแวร์ DevilsTongue กระจุกตัวอยู่ในแถบปาเลสไตน์ประมาณครึ่งหนึ่ง ที่เหลืออยู่ใน อิสราเอล, อิหร่าน, เลบานอน, เยเมน, สเปน, สหราชอาณาจักร, ตุรกี, อาร์เมเนียร์, และสิงคโปร์ โดยไม่แน่ชัดว่าผู้ว่าจ้างให้โจมตีมาจากชาติใดบ้าง

Citizen Lab หาข้อมูลของ Candiru จากเอกสารหลุดและคำฟ้องในคดีที่เคยมี พบว่าบริษัททำงานคล้ายบริษัทรับแฮกอื่นๆ เช่น NSO Group โดยลูกค้าต้องจ่ายเงินค่าแรกเข้าเพื่อใช้งานบริการแฮก คิดเป็นเงิน 16 ล้านยูโรหรือประมาณ 620 ล้านบาท และจะแฮกคอมพิวเตอร์ได้ไม่จำกัดจำนวน แต่จะมอนิเตอร์การทำงานของอุปกรณ์ที่เป็นเหยื่อได้พร้อมกันเพียง 10 อุปกรณ์เท่านั้น หากต้องการใช้งานเพิ่มต้องซื้อไลเซนส์เพิ่ม 15 อุปกรณ์และจะโจมตีเหยื่อเพิ่มขึ้นได้อีกหนึ่งชาติ หากจ่ายเพิ่ม 5.5 ล้านยูโรจะมอนิเตอร์อุปกรณ์ได้อีก 25 ตัวและโจมตีเหยื่อเพิ่มได้อีก 5 ชาติ

ตัวมัลแวร์สามารถดึงข้อมูลออกจาก Gmail, Skype, Facebook สามารถดึงประวัติการเข้าเว็บและรหัสผ่าน รวมถึงสามารถบันทึกภาพจากเว็บแคม, เสียงจากไมโครโฟน, และภาพหน้าจอ สามรรถจ่ายเพิ่มเพื่อมอนิเตอร์ทวิตเตอร์, Viber, และ Signal ได้

ทาง Citizen Lab พบมัลแวร์จากนักกิจกรรมทางการเมืองในยุโรป และขอสำเนาอิมเมจของฮาร์ดดิสก์ออกมาได้ ทำให้ได้ตัวอย่างมัลแวร์ ทางไมโครซอฟท์วิเคราะห์มัลแวร์พบว่าใช้ช่องโหว่ที่ไม่เคยมีการรายงานมาก่อนสองรายการ ได้แก่ CVE-2021-31979 และ CVE-2021-33771 ที่เปิดทางให้โค้ดเจาะทะลุ sandbox ของเบราว์เซอร์และเพิ่มสิทธิจนทำงานในระดับเคอร์เนลได้ ช่องโหว่ทั้งสองตัวแพตช์ในรอบเดือนกรกฎาคมเรียบร้อยแล้ว

ตัวมัลแวร์ DevilsTongue มีการออกแบบเป็นโมดูล มีความสามารถพื้นฐานในตัว เช่นการดึง cookie จากเบราว์เซอร์ (รองรับทั้ง Chrome, Chromium, Edge, UCBrowser, Yandex, Firefox, Opera) และยังมีความสามารถใช้ cookie กับบริการเช่น Facebook, Twitter, Gmail, Yahoo เพื่อดึงข้อความจากบริการเหล่านี้ออกมาตรงๆ รวมถึงส่งข้อความโดยรวมรอยบัญชีเหยื่อ

ที่มา – Citizen Lab, Microsoft

ภาพโดย iAmMrRob

Topics: 

Citizen Lab

Microsoft

Malware

from:https://www.blognone.com/node/123757

Citizen Lab รายงานรัฐบาลทั่วโลกที่ใช้เครื่องมือดักฟังโทรศัพท์และ SMS พบตำรวจและกองทัพบกไทยใช้งานด้วย

Citizen Lab ออกรายงานถึงสินค้าของบริษัท Circles ผู้พัฒนาระบบแฮกเครือข่ายโทรศัพท์มือถือผ่านทางช่องโหว่โปรโตคอล SS7 ที่เปิดทางให้แฮกเกอร์สามารถดักฟังทั้งโทรศัพท์และข้อความ SMS ของเหยื่อได้ โดย Circles ระบุว่าบริษัทจะขายสินค้าให้กับรัฐเท่านั้น ไม่เปิดขายเอกชนทั่วไป รายงานระบุรายชื่อรัฐบาลที่ใช้งานสินค้าของ Circles ทั่วโลก รวมถึงรัฐบาลไทยที่มีกองทัพบกและตำรวจปราบปรามยาเสพติดใช้งาน

Circles ก่อตั้งเมื่อปี 2008 และรวมบริษัทเข้ากับ NSO Group ผู้พัฒนาเครื่องมือแฮกโทรศัพท์ชื่อดังที่ WhatsApp เคยยื่นฟ้องก่อนหน้านี้ โดย Pegasus ของ NSO Group เป็นการแฮกโทรศัพท์เพื่อฝังมัลแวร์ไว้ในเครื่อง ขณะที่ Circles เป็นการแฮกที่เครือข่ายทำให้ไม่เหลือร่องรอยอยู่ในเครื่องของเหยื่อ แม้จะมีรายงานว่าสินค้าทั้งสองตัวจะเชื่อมโยงต่อกันมาก

Citizen Lab ติดตามการทำงานของ Circles แล้วพบว่าบริษัทไปตั้งบริษัทลูกเป็นบริษัทโทรศัพท์ปลอมๆ ชื่อว่า Circles Bulgaria ไว้เมื่อปี 2015 พบว่าบริษัทมีไอพีของตัวในอยู่ใน AS200068 เมื่อสแกนดูจึงพบว่าไอพีเหล่านี้รันระบบจัดการไฟร์วอลล์ SmartCenter ของ Check Point โดยมีชื่อเครื่อง (hostname) ว่า core-mgmt-primary.tracksystem.info เมื่อตรวจสอบพบว่าเคยมีเอกสารหลุดจาก Circles ที่พนักงานใช้อีเมลจากโดเมน tracksystem.info เช่นกัน

ทาง Citizen Lab ไล่หาเซิร์ฟเวอร์ทั่วโลกที่มีโดเมนเป็น tracksystem.info พบเซิร์ฟเวอร์ 252 ไอพี เมื่อตรวจข้อมูล Firewall Host ก็พบชื่อเครื่อง เช่น client-circles-thailand-nsb-node-2 แสดงให้เห็นว่าเครื่องเหล่านี้เป็นเซิร์ฟเวอร์ลูกค้าของ Circles จริงๆ โดยพบว่า Circles อ้างถึงประเทศลูกค้าด้วยยี่ห้อรถและชื่อหน่วยงานเป็นรุ่นรถ

รายงานของประเทศไทยพบลูกค้าของ Circles สามหน่วยงาน ได้แก่ กองพันข่าวกรองทางทหาร กองทัพบก (Royal Thai Army Military Intelligence Battalion), กองอำนวยการรักษาความมั่นคงภายใน กองทัพบก (Royal Thai Army Internal security Operations Command – ISOC), และตำรวจปราบปรามยาเสพติด (Royal Thai Police Narcotics Suppression Bureau – NSB)

ช่องโหว่ SS7 เป็นที่รู้กันมาเป็นเวลานาน และเป็นสาเหตุให้คำแนะนำด้านความมั่นคงปลอดภัยไซเบอร์ใหม่ๆ เช่น NIST SP 800-63 แนะนำให้เลิกใช้ SMS ในการยืนยันตัวตน

ที่มา – Citizen Lab

Topics: 

Citizen Lab

Security

SMS

Mobile

from:https://www.blognone.com/node/119912

Citizen Lab รายงาน WeChat สอดส่องห้องแชตแม้อยู่นอกจีน ตรวจหาภาพต้องห้ามสำหรับสร้างฐานข้อมูลเซ็นเซอร์

Citizen Lab ออกรายงานสำรวจแนวทางการทำงานของแอป WeChat ที่ให้บริการทั่วโลก แต่กลับใช้ข้อมูลจากผู้ใช้นอกจีนในการสร้างฐานข้อมูลไฟล์ต้องห้าม เพื่อให้ WeChat สามารถเซ็นเซอร์ข้อมูลตามเวลาจริง

รายงานอาศัยห้องแชตสองกลุ่ม กลุ่มหนึ่งเป็นห้องแชตลงทะเบียนนอกจีน (non-China group) และอีกกลุ่มลงทะเบียนในจีน จากนั้นทีมงานทดสอบส่งเอกสาร และภาพข้อความล่อแหลมต่อการเมืองจีนในกลุ่มนอกจีนโดยเป็นภาพที่สร้างขึ้นใหม่ไม่ให้ค่าแฮชตรงกับภาพในฐานข้อมูล แล้วทดลองส่งภาพเข้าไปยังบัญชีที่ลงทะเบียนในจีนเพื่อสำรวจว่าระบบแบนภาพทำงานอย่างไร

ผลการทดสองแสดงให้เห็นว่าระบบเซ็นเซอร์ข้อมูลทำงานได้ทันที หาก WeChat เคยพบภาพแม้แต่กลุ่มนอกจีนมาก่อน แสดงให้เห็นว่ามีการตรวจสอบการส่งข้อมูลไม่ว่าจะในหรือนอกจีน โดยหากเป็นกลุ่มนอกจีนก็จะเก็บภาพเหล่านั้นไว้แม้ไม่ได้เซ็นเซอร์โดยตรงแต่ก็สร้างฐานข้อมูลค่าแฮชเพื่อนำไปเซ็นเซอร์ในจีน

การเซ็นเซอร์ตามเวลาจริงอาศัยค่าแฮชแบบ MD5 ที่อ่อนแอ ทาง Citizen Lab ทดลองสร้างภาพที่จีนอ่อนไหวให้ค่าแฮชตรงกับภาพธรรมดา จากนั้นส่งภาพที่จีนอ่อนไหวเข้ากลุ่มแชตนอกจีน แล้วทดสอบส่งภาพธรรมดาเข้าไปยังกลุ่มจีน พบว่าภาพที่ส่งเข้าจีนทั้งหมดถูกเซ็นเซอร์ทันที และนอกจากนั้นทีมงานพบว่าการเซ็นเซอร์ด้วยค่าแฮชนี้ยังทำงานอยู่ แม้ภาพจะส่งผ่านแชตไปเป็นเวลาสั้นๆ และลบออกทันทีก็ตาม

ช่วงท้ายของการทดสอบนี้ นักวิจัยยื่นขอข้อมูลส่วนบุคคลตามกฎหมายไปยัง Tencent เพื่อขอดาวน์โหลดข้อมูล หลังกจากยื่นขอดาวน์โหลดข้อมูลแล้ว ข้อมูลที่ดาวน์โหลดได้ไม่พบว่ามีค่าแฮช MD5 ของภาพที่ทีมงานอัพโหลดเข้าไปอยู่ในข้อมูลที่เปิดเผยว่าเก็บไปแต่อย่างใด

ที่มา – Citizen Lab

Topics: 

Citizen Lab

WeChat

Tencent

from:https://www.blognone.com/node/116265

อัปเดตจากประเทศจีน ใครให้บริการ Wi-Fi สาธารณะ ต้องติดโปรแกรมเฝ้าระวังเพิ่ม

หลังจากที่เดือนที่ผ่านมา จีนได้เริ่มโปรแกรมการค้นหาและสั่งปิดเครือข่าย VPN ที่ไม่ได้รับอนุญาต ด้วยเหตุผลด้านความมั่นคงของชาติ ล่าสุดรัฐบาลจีนได้ยกระดับโปรแกรมเฝ้าระวังขึ้น โดยสั่งให้ผู้ให้บริการ Wi-Fi สาธารณะจะต้องติดตั้งเทคโนโลยีสำหรับเฝ้าระวังของรัฐบาลจีน และเพิ่มมาตรการเซ็นเซอร์ข้อมูลลบนโปรแกรมแชทยอดนิยมอย่าง WeChat มากขึ้น

Credit: 24Novembers/ShutterStock

รายงานจาก Radio Free Asia ระบุว่า หน่วยงานผู้รับผิดชอบในมลฑลเหอเป่ยบังคับให้บริษัทและผู้ประกอบการที่ให้บริการ Wi-Fi สาธารณะ จำเป็นต้องติดตั้งเทคโนโลยีสำหรับเฝ้าระวัง (หรือสอดแนม?) ที่ได้รับการยอมรับจากรัฐบาล เพื่อบันทึกพฤติกรรมของผู้ใช้ขณะเล่นอินเทอร์เน็ตทั้งหมด ถ้าใครไม่ปฏิบัติตามจะต้องโทษโดนปรับหรือได้รับบทลงโทษอื่นๆ ซึ่งตำรวจท้องถิ่นระบุว่า นี่เป็น “มาตรการปกป้องความปลอดภัยออนไลน์”

ตามกฎที่ระบุ บริษัทจะต้อง “เก็บและรักษาข้อมูลการลงทะเบียนของผู้ใช้ … เวลาที่ผู้ใช้ล็อกอินและเลิกใช้งาน หมายเลขผู้ติดต่อ หมายเลขพอร์ต หมายเลขบัญชี หมายเลข IP ชื่อโดเมน และ System Maintenance Log” พวกเขายังต้องเก็บและรักษาข้อมูลเว็บไซต์บนอินเทอร์เน็ตที่ผู้ใช้เข้าถึง โดยใช้ “อุปกรณ์ความปลอดภัยแบบพิเศษ” เพื่อเก็บข้อมูลไว้นานกว่า 60 วัน มาตรการนี้ “จะป้องกันผู้ละเมิดกฎหมายจากการใช้อินเทอร์เน็ตเพื่อดำเนินการก่อการร้าย กระจายข่าวลือ หรือกระจายสื่อลามกอนาจารและข้อมูลที่ผิดกฎหมายอื่นๆ” — รายงานจาก Radio Free Asia

นอกจากให้ Wi-Fi สาธารณะติดตั้งโปรแกรมเฝ้าระวังแล้ว Citizen Lab ยังออกมาเปิดเผยว่า รัฐบาลจีนสั่งให้ WeChat โปรแกรมแชทยอดนิยมของจีน บล็อกเนื้อหาและรูปภาพที่ส่งผลกระทบต่อประเด็นทางด้านการเมืองเพิ่มเติม อย่างล่าสุดมีการบล็อกข้อมูลที่เกี่ยวข้องกับ “709 Crackdown” ซึ่งเป็นเหตุการณ์ด้านการเมืองที่ทนายความและพนักงานด้านกฎหมายของจีนกว่า 300 คนถูกกักตัวและสอบปากจำโดยหน่วยงานรัฐ ซึ่งถือว่าเป็นหนึ่งในเหตุการณ์ที่ละเมิดสิทธิมนุษยชนที่รุนแรงที่สุดของจีน

“แพลตฟอร์มโซเชียลมีเดียของจีนมีการเพิ่มมาตรการควบคุมข้อมูลที่เกี่ยวข้องกับประเด็นทางการเมืองอย่างสม่ำเสมอและเป็นระบบ การบล็อกคีย์เวิร์ดที่เกี่ยวข้องกับเหตุการณ์ 709 Crackdown แสดงให้เห็นว่าการเซ็นเซอร์ข้อมูลบนโซเชียลมีเดียของจีนอย่าง WeChat และ Weibo มีการอัปเดตเหตุการณ์ล่าสุดเพิ่มเติมเข้าไปเรื่อยๆ” — Citizen Lab ระบุ

ที่มา: http://www.networkworld.com/article/3190704/security/meanwhile-in-china-surveillance-required-on-public-wi-fi.html

from:https://www.techtalkthai.com/public-wi-fi-surveillance-program-in-china/

เตือน!! ผู้ใช้ iOS เสี่ยงโดนโจมตีด้วยสปายแวร์ครั้งใหม่ แนะให้รีบอัพเดท iOS 9.3.5

Citizen Lab และ Lookout พบภัยคุกคามครั้งใหม่ของอุปกรณ์ iOS จากสปายแวร์ที่มีชื่อว่า Pegasus โดยอาศัยเจาะผ่านช่องโหว่ Zero Day ที่ตรวจพบถึง 3 รายการ หรือเรียกว่า Trident มันถูกใช้ในผลิตภัณฑ์สปายแวร์ที่พัฒนาโดยองค์กร NSO Group ซึ่งมีฐานอยู่ในอิสราเอล ก่อนจะถูกซื้อโดยบริษัทในสหรัฐฯ Francisco Partners Management เมื่อปี 2010

ตามรายงานล่าสุดจากผู้เชี่ยวชาญในสงครามไซเบอร์ ระบุว่ามีแนวโน้มสูงมากที่ Pegasus จะถูกใช้ในการโจมตีช่องโหว่ Zero Day, Obfuscation, encryption และ Kernel-Level Exploitation เพื่อแสวงหาผลประโยชน์

การโจมตีของสปายแวร์ จะใช้วิธีการ Phishing หลอกล่อให้เจ้าของอุปกรณ์ติดตั้งซอฟต์แวร์ของแฮกเกอร์ลงไปโดยที่เจ้าของไม่ทันรู้ตัว อาจจะส่งมาทางข้อความ หรือ เปิดเว็บเบราว์เซอร์ และถ้าอุปกรณ์ถูกติดตั้งซอฟต์แวร์สำเร็จ สปายแวร์จะสามารถเข้าถึงข้อมูลส่วนตัวทุกอย่างในอุปกรณ์ ไม่ว่าจะเป็นข้อความ, การโทร, อีเมล, บันทึกการโทร รวมทั้งแอพพลิเคชั่น Facebook, Skype, WhatsApp, Viber, FaceTime, Calendar, Line, WeChat, Tango และอื่นๆ

อย่างไรก็ตาม Citizen Lab และ Lookout ได้ทำงานร่วมกับทีมรักษาความปลอดภัยของ Apple โดยตรง หลังจากพบช่องโหว่ดังกล่าว Apple จึงได้ปล่อย iOS 9.3.5 ออกมาอุดช่องโหว่ทันที ดังนั้นจึงแนะนำให้เจ้าของอุปกรณ์ iOS รีบอัพเดทโดยด่วนที่สุด

ที่มา – Lookout

from:http://www.flashfly.net/wp/?p=156899

Apple ออกแพทช์ “ฉุกเฉิน” อุดช่องโหว่ Zero-day 3 รายการ

เสี่ยงถูกจารกรรมข้อมูลและเข้าควบคุมเครื่อง แนะรีบอัปเดต iOS 9.3.5 ทันที

Apple ออกแพทช์อัปเดตด้านความมั่นคงปลอดภัยใหม่บน iPhone และ iPad อย่างเร่งด่วน เพื่ออุดช่องโหว่ Zero-day ระดับความรุนแรงสูง 3 รายการ ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมอุปกรณ์ Apple iOS ได้ แนะนำให้ผู้ใช้รีบอัปเดต iOS เป็นเวอร์ชัน 9.3.5 โดยทันที

Credit: alexmillos/ShutterStock

Apple iOS เวอร์ชัน 9.3.5 เป็นระบบปฏิบัติการล่าสุดบน iPhone และ iPad ที่ถูกออกแบบมาเพื่ออุดช่องโหว่อันเนื่องมาจาก Pegasus Surveillance Kit* ซึ่งเป็น Malware Package เชิงพาณิชย์ที่ขายให้หน่วยงานรัฐบาลเพื่อใช้สอดแนมผู้ประท้วง ผู้เคลื่อนไหวทางการเมือง หรือแม้แต่นักข่าว โดย Pegasus สามารถลอบอ่านข้อความ อีเมล ดักฟังการคุยโทรศัพท์ ติดตามการโพสต์บน Social Media และอื่นๆ

* โค้ดสำหรับใช้เจาะระบบ iOS นี้ชื่อว่า Trident เป็นส่วนหนึ่งของ Pegasus Package

ช่องโหว่ Zero-day 3 รายการบน Apple iOS ที่ถูกค้นพบโดยมัลแวร์นี้ประกอบด้วย

• CVE-2016-4655: ช่องโหว่การตรวจสอบอินพุท ที่อาจส่งผลให้แอพพลิเคชันที่ติดตั้งบนเครื่องสามารถดูข้อมูลบน iOS Kernel Memory ได้
• CVE-2016-4656: แอพพลิเคชันที่ติดตั้งบนเครื่องสามารถใช้ประโยชน์จากช่องโหว่ Memory Corruption บน iOS Kernel เพื่อรันคำสั่งจากระยะไกล (Remote Code Execution) ได้
• CVE-2016-4657: ช่องโหว่ Remote Code Execution บน WebKit ที่ช่วยให้แฮ็คเกอร์สามารถ Jailbreak และติดตั้งมัลแวร์บนอุปกรณ์ iOS ผ่านหน้าเว็บเพจที่สร้างขึ้นมาเป็นพิเศษได้

เป็นไปได้ที่แฮ็คเกอร์สามารถจะใช้ช่องโหว่ทั้งสามโจมตีอุปกรณ์ iOS แบบลูกโซ่เพื่อติดตั้งมัลแวร์และเข้าควบคุม iPhone หรือ iPad ของเหยื่อได้ทันที เช่น หลอกให้เหยื่อเข้าถึงเว็บเพจที่วางกับดักเอาไว้ หรือติดตั้งแอพพลิเคชันแปลกปลอม เพื่อเจาะระบบผ่านทางช่องโหว่ CVE-2016-4657 และ/หรือ CVE-2016-4656 โดยใช้ข้อมูลความลับที่ได้จากช่องโหว่ CVE-2016-4655 เป็นต้น

Pegasus Surveillance Kit ถูกพัฒนาโดย NSO Group บริษัทสัญชาติอิสราเอล หนึ่งในตัวแทนจำหน่ายซอฟต์แวร์สำหรับใช้บุกรุกและสอดแนมอุปกรณ์พกพาอันดับต้นๆ ของโลก ซึ่ง Trident โค้ดเจาะระบบ iOS ส่วนหนึ่งของ Pegasus Kit ถูกใช้เพื่อสอดแนมผู้ประท้วงและนักข่าวที่ใช้ iPhone และ iPad ผ่านทางช่องโหว่ Zero-day ทั้ง 3 รายการที่กล่าวไป

อย่างไรก็ตาม ทาง Apple เองก้ได้รีบออกแพทช์เพื่ออุดช่องโหว่ดังกล่าว 10 วันหลังจากที่ได้รับแจ้งเตือนจาก Citizen Lab และ Lookout สองบริษัทชื่อดังด้านความมั่นคงปลอดภัย

รายละเอียดเพิ่มเติมเกี่ยวกับ iOS 9.3.5: https://support.apple.com/en-us/HT207107

ที่มา: http://www.theregister.co.uk/2016/08/25/update_your_ios_devices_now_theres_an_apt_in_the_wild/

from:https://www.techtalkthai.com/apple-patches-three-zero-day-vulnerabilities/

แอปควบคุมการใช้งานสมาร์ตโฟนสำหรับเด็กในเกาหลีไต้มีช่องโหว่จำนวนมาก, ส่งประวัติการใช้เว็บโดยไม่เข้ารหัส

เกาหลีใต้มีนโยบายให้ผู้ให้บริการโทรศัพท์มือถือสำหรับเด็กต้องมีมาตรการควบคุมการใช้งานให้กับผู้ปกครอง ทางกสทช.เกาหลี (Korean Communications Commission – KCC) ออกมาสนับสนุนสมาคมธุรกิจอินเทอร์เน็ตเกาหลี (Korean Mobile Internet Business Association – MOIBA) ด้วยเงินถึง 3.18 พันล้านวอนหรือประมาณ 100 ล้านบาท ให้พัฒนาแอปพลิเคชั่น Smart Sheriff แต่ Citizen Lab กลับพบว่าแอพพลิเคชั่นตัวนี้มีช่องโหว่จำนวนมาก

ช่องโหว่ที่ Citizen Labs ตรวจสอบพบได้แก่

– ข้อมูลส่วนบุคคลไม่ได้เก็บ, หรือส่งกลับเซิร์ฟเวอร์อย่างปลอดภัย ถูกดักฟังได้ง่าย
– แอปพลิเคชั่นสามารถถูกยิงโค้ดเข้ามารันได้
– การออกแบบมีช่องโหว่ทำให้ผู้ปกครองควบคุมการใช้งานไม่ได้จริง
– บัญชีลงทะเบียนโดยไม่มีการตรวจสอบยืนยันอย่างถูกต้อง
– แม้จะปิดบริการบล็อคเว็บไปแล้ว แต่ตัวแอปพลิเคชั่นยังส่งประวัติการเข้าเว็บกลับเซิร์ฟเวอร์อย่างต่อเนื่อง
– เซิร์ฟเวอร์ไม่มีการจำกัดการใช้งาน ทำให้เสี่ยงต่อการถูกยิงด้วยการเชื่อมต่อปริมาณมากๆ

หลังจาก Citizen Lab รายงานเรื่องนี้กลับไปยัง MOIBA ทาง MOIBA ก็ปรับให้การเชื่อมต่อกลับเซิร์ฟเวอร์มีการเข้ารหัส แต่ตัวแอปพลิเคชั่นก็ยังคงไม่ตรวจสอบใบรับรองของเซิร์ฟเวอร์ทำให้เสี่ยงต่อการดักคั่นการเชื่อมต่ออยู่ดี

เกาหลีใต้เป็นประเทศที่มีประวัติคำนึงถึงความปลอดภัยข้อมูลมายาวนาน ในยุคที่สหรัฐฯ ห้ามส่งออกกระบวนการเข้ารหัสที่แข็งแกร่งเกิน 40 บิต เกาหลีใต้พัฒนากระบวนการ SEED ที่มีความแข็งแกร่ง 128 บิตขึ้นมาใช้งานเองผ่าน ActiveX ในแง่ของข้อมูลส่วนตัว เกาหลีใต้มีกฎหมาย Personal Information Protection Act (PIPA) ระบุว่าต้องมีมาตรการคุ้มครองข้อมูลส่วนตัว เช่น การเข้ารหัสข้อมูลเมื่อมีการเก็บหรือส่งต่อข้อมูลเหล่านี้

ที่มา – Citizen Lab

Citizen Lab, Privacy, South Korea

from:https://www.blognone.com/node/72732