เมื่อวันก่อน Trend Micro รายงานถึง Moplus SDK ที่เปิดช่องทางให้ควบคุมโทรศัพท์มือถือจากภายนอกได้ วันนี้ทาง FireEye ก็ออกรายงานคล้ายกันถึง mobiSage SDK ไลบรารีโฆษณาจาก adSage ในจีน ที่เปิดช่องทางลับให้เซิร์ฟเวอร์โฆษณาสามารถเข้าควบคุมเครื่องได้มากกว่าการโฆษณาตามปกติ

ออปเจกต์ที่มีปัญหาคือ msageCore ที่เปิด API ของ Objective-C ให้กับจาวาสคริปต์ผ่านทาง WebView ที่น่าตกใจคือ API ที่ msageCore เปิดนั้นมี API สำคัญจำนวนมาก เช่น captureAudio, captureImage, returnLocationInfo, อ่านเขียน KeyChain เช่นคำสั่ง adsage.exec("MSageCoreUIManager", "captureAudio", ["Hey", 10, 40], onSuccess, onFailure); จะเป็นการสั่งอัดเสียง

ตัวไลบรารีจะติดต่อกลับเซิร์ฟเวอร์เพื่อดาวน์โหลดจาวาสคริปต์ใหม่มารันเสมอๆ แม้ว่าทาง adSage เองอาจจะไม่มีความตั้งใจจะรันโค้ดมุ่งร้ายใดๆ แต่แฮกเกอร์ก็อาจจะอาศัยช่องที่ไลบรารีเปิดไว้ในการยิงโค้ดเข้าไปยังเครื่องของเหยื่อ

FireEye ระบุว่าเวอร์ชั่นที่มีช่องทางลับเช่นนี้ของไลบรารีมีทั้งหมด 17 เวอร์ชั่น ตั้งแต่ 5.3.3 ไปจนถึง 6.4.4 แต่ในเวอร์ชั่นล่าสุด 7.0.5 ความสามารถเหล่านี้ได้หายไปแล้ว แอปใน App Store ยังใช้เวอร์ชั่นที่มีช่องทางลับอยู่รวม 2,846 รายการ จากการสังเกตการติดต่อเซิร์ฟเวอร์กว่า 900 ครั้งไม่พบว่ามีความพยายามเข้าใช่ช่องทางลับในรูปแบบที่เป็นอันตรายแต่อย่างใด ทีมวิจัยของ FireEye ระบุว่าสาเหตุที่มีช่องทางลับเช่นนี้อาจจะเป็นความตั้งใจหรือเป็นเพราะถูกมัลแวร์ฝังช่องทางนี้เข้ามาโดยที่นักพัฒนาไม่รู้ตัว เช่นกรณี XcodeGhost

ที่มา - ThreatPost, FireEye