Tags:
Node Thumbnail

หลังจากที่มีข่าวช่องโหว่หน้าจอล็อครหัสใน iOS 6 และ Samsung Galaxy Note II ทาง Amazon เองก็คงกลัวผู้ใช้ Kindle จะไม่มีอะไรทำขณะอยู่หน้าล็อกรหัส เตรียมของเล่นไว้ให้เรียบร้อยครับ

หลายครั้งที่ปัญหาความปลอดภัย เกิดจากระบบรักษาความปลอดภัยหลายตัวทำงานขัดแย้งกันเอง โดยอาศัยความแตกต่างกันของระดับสิทธิ์แต่ละตัว

ช่องโหว่นี้ผมพบด้วยตัวเองโดยบังเอิญ โดยปกติแล้ว Kindle จะมีโหมดความปลอดภัยอยู่สองโหมด นั่นคือ device passcode ที่ล็อกเครื่องก่อนเปิดใช้งาน และ parental controls ที่สามารถปิดการทำงานของเบราเซอร์, Kindle store (ไม่ให้เข้าไปดูหนังสือ ข้อมูล หรือซื้อหนังสือ) และ คลาวด์ (ไม่ให้เข้าไปฐานข้อมูลหนังสือส่วนตัวบนคลาวด์) ได้ด้วยรหัสผ่าน โดยมีการเขียนกำกับไว้ชัดเจนว่าหากเปิดความสามารถใดความสามารถหนึ่งของ parental controls แล้ว จะไม่สามารถยกเลิกการลงทะเบียนเครื่องหรือรีเซ็ตเครื่องกลับไปสภาพโรงงานได้

เป็นที่รู้กันว่าอุปกรณ์เกือบทั้งหมดจะมีคำสั่งพิเศษไว้สั่งรีเซ็ตเครื่องกลับไปสภาพโรงงานได้ เผื่อเครื่องมีปัญหา โดยเฉพาะอุปกรณ์ที่สามารถตั้งรหัสก่อนเปิดใช้ได้ที่ต้องเตรียมเอาไว้เผื่อกรณีผู้ใช้ลืมรหัสผ่าน ซึ่งกรณีของ Kindle นี้ต่างออกไป เนื่องจากตัว parental controls เองได้แจ้งแล้วว่าจะไม่ให้รีเซ็ตเพื่อไม่ให้บุตรหลานเอาเครื่องไปใช้นอกเหนือจากที่ตั้งใจไว้

โดยจากการทดสอบ เมื่อเปิด parental controls แล้ว ปุ่มรีเซ็ตจะถูกปิดการใช้งานจริง ๆ

ถึงตอนนี้ ให้นึกถึงประโยคข้างต้นอีกครั้ง

อุปกรณ์เกือบทั้งหมดจะมีคำสั่งพิเศษไว้สั่งรีเซ็ตเครื่องกลับไปสภาพโรงงานได้ โดยเฉพาะอุปกรณ์ที่สามารถตั้งรหัสก่อนเปิดใช้ได้ที่ต้องเตรียมเอาไว้เผื่อกรณีผู้ใช้ลืมรหัสผ่าน

จะเกิดอะไรขึ้นถ้าเราสั่งคำสั่งพิเศษ เพื่อให้เครื่องที่ถูกปิดคำสั่งย้อนกลับสภาพโรงงาน กลับไปอยู่ในสภาพโรงงาน

การทดสอบสามารถทำได้ง่ายมาก โดยการเปิดระบบความปลอดภัยทั้งสองระบบ ปิดหน้าจอ เปิดอีกครั้ง ป้อนรหัส "111222777" แล้วตกลง

คำตอบคือ ไม่รอดครับ เครื่องดำเนินการล้างข้อมูลทั้งหมด และกลับเข้าสู่สภาพโรงงานทันที ตามวิดีโอด้านล่างนี้

ผมทำวิดีโอขั้นตอนนี้ขึ้นมา และได้แจ้งให้ทาง Amazon ทราบถึงเรื่องนี้เรียบร้อยแล้ว จากการค้นยังไม่พบว่ามีใครเผยแพร่ช่องโหว่นี้ในเวลานี้กับ Kindle Paperwhite หรือรุ่นอื่น ๆ

ปัญหาของเรื่องนี้คือ ความขัดแย้งระหว่างระบบความปลอดภัยสองตัว ในขณะที่ตัวหนึ่งช่วยป้องกันไม่ให้เครื่องถูกรีเซ็ต อีกตัวหนึ่งกลับช่วยเหลือให้เครื่องถูกรีเซ็ตได้ ราวกับว่าคำสั่งของตัวแรกไม่มีความหมายอะไร

เนื่องจากตัวป้องกันการเปิดเครื่องด้วยรหัสทำได้แค่กันคนมาอ่านหนังสือเท่านั้น ดังนั้นผมเลือกที่จะเปิดการใช้งาน parental controls โดยปิดการเข้าถึง Kindle store เพียงตัวเดียวแทน เพื่อป้องกันคนมือบอนมากดซื้อหนังสือหรือรีเซ็ตเครื่องอย่างง่าย ๆ (แต่ถ้าคนมือบอนพยายามขนาดตั้งค่ารหัสเข้าใช้เครื่องแล้วสั่งรีเซ็ตก็คงต้องยอม เนื่องจากขณะนี้ไม่สามารถป้องกันอะไรได้เลย)

ขณะนี้ยังไม่มีรายงานว่ามีเครื่องรุ่นใดได้รับผลกระทบจากช่องโหว่นี้บ้าง และจะมีการแก้ไขหรือไม่

Get latest news from Blognone

Comments

By: Elysium
ContributorWindows PhoneSymbianWindows
on 6 April 2013 - 09:47 #560403
Elysium's picture

ทำไมถึงเป็น "111222777" ครับ เป็นรหัสเฉพาะเครื่องหรือเปล่าครับ หรือเป็นค่าพื้นฐานสำหรับทุกเครื่อง


คนขี้ลืม | คนบ้าเกม | คนเหงาๆ

By: tekkasit
ContributorAndroidWindowsIn Love
on 6 April 2013 - 10:40 #560410 Reply to:560403
tekkasit's picture

111222777 เป็นรหัสจากโรงงาน สำหรับเครื่องรุ่นใหม่หน่อยอย่าง Kindle Touch, Kindle PaperWhite, Kindle 4 (non-Touch)

ส่วนรุ่นเก่าหน่อย "resetmykindle"

By: tekkasit
ContributorAndroidWindowsIn Love
on 6 April 2013 - 10:50 #560413
tekkasit's picture

ผมว่าเค้าจงใจนะ

To remove or change Parental Controls, you'll need to enter your password. If you forget your password, you'll need to reset your Kindle to factory defaults by entering resetmykindle as the Parental Controls password.

http://www.amazon.co.uk/gp/help/customer/display.html/?nodeId=200996460

By: hisoft
ContributorWindows PhoneWindows
on 6 April 2013 - 13:51 #560445 Reply to:560413
hisoft's picture

ขอบคุณครับ ตรง resetmykindle นี่ผมก็พึ่งทราบเหมือนกัน

  • Setting Parental Controls also prevents access to the Deregistration and Reset Device options.
  • you'll need to reset your Kindle to factory defaults by entering resetmykindle as the Parental Controls password.

ตกลงเลยไม่ทราบว่า เค้าจะทำข้อแรกไว้ทำไม

By: mk
FounderAndroid
on 6 April 2013 - 11:14 #560414
mk's picture
  • ผมอ่านหัวข่าวแล้วยังไม่ค่อยเข้าใจเท่าไรว่าจะสื่ออะไรนะครับ
  • ประเด็นหลักของข่าวคืออะไรกันแน่ อันนี้ก็ไม่เข้าใจอีกเหมือนกัน มันคือ "ค้นพบช่องโหว่ที่ยังไม่เคยมีใครเจอ" หรือ "ค้นพบช่องทางที่ Amazon ตั้งใจทำไว้ให้แล้ว" (ตามคอมเมนต์คุณ tekkasit) ถ้าเป็นกรณีหลัง ก็ยังไม่เห็นว่ามันควรจะเป็นข่าวได้อย่างไรนะครับ
By: hisoft
ContributorWindows PhoneWindows
on 6 April 2013 - 13:49 #560444 Reply to:560414
hisoft's picture

ประเด็นคือขณะที่ parental controls พยายามเสนอให้เครื่องไม่สามารถ reset ได้ แต่มันไม่ได้ช่วยป้องกันเครื่องจากการถูก reset เลยมากกว่าครับ

จริง ๆ อาจเป็นช่องทางที่ Amazon ตั้งใจทำไว้ แต่ไม่มีการชี้แจงว่าจริง ๆ parental controls ไม่สามารถช่วยป้องกันการถูก reset ได้ ผมเลยคิดว่าออกไปทางเตือนผู้ใช้ว่ามันไม่ได้ทำงานอย่างที่บอกมากกว่าครับ

By: inkirby
ContributoriPhoneAndroidIn Love
on 7 April 2013 - 00:58 #560526 Reply to:560444
inkirby's picture

อยากให้ลองเปลี่ยนคำว่า "เพื่อขัดคำสั่ง" ในหัวข้อข่าวดูอ่ะครับ ผมว่ามันแปลกๆ ยังไงไม่รู้


Dream high, work hard.

By: hisoft
ContributorWindows PhoneWindows
on 7 April 2013 - 02:28 #560538 Reply to:560526
hisoft's picture

แบบนี้เหรอครับ :p

By: nuntawat
WriterAndroidWindowsIn Love
on 7 April 2013 - 10:45 #560566 Reply to:560538
nuntawat's picture
  • ที่หัวข่าว อาจใช้ "เพื่อเลี่ยง Parental Control ได้"
  • parental controls ไม่มี s
By: hisoft
ContributorWindows PhoneWindows
on 7 April 2013 - 23:40 #560640 Reply to:560566
hisoft's picture
  • หัวข่าว แก้แล้วครับ
  • ของ Kindle มี s ครับ