Tags:
Node Thumbnail

ผู้อ่านหลายๆ ท่านที่ติดตามข่าวด้านความปลอดภัยอยู่เป็นประจำ (แม้จะไม่ได้ตั้งใจหรืออ่านผ่านๆ ก็ตาม) อาจจะคุ้นเคยกับชื่อการแข่งขัน Pwn2Own กันมาบ้างแล้ว สำหรับในปีนี้ค่อนข้างพิเศษกว่าปีอื่นๆ เนื่องจากประเด็นทางด้านความปลอดภัยบนอุปกรณ์ประเภทคอมพิวเตอร์พกพาและอุปกรณ์สื่อสารแบบไร้สายจึงได้มีการจัดการแข่งขัน Mobile Pwn2Own ขึ้นมาเป็นปีแรกโดยยังมีรูปแบบของการแข่งขันคล้ายกับงาน Pwn2Own เดิมคือให้ผู้เข้าแข่งขันทำการแฮกอุปกรณ์หรือซอฟต์แวร์ที่กำหนดไว้โดยใช้ช่องโหว่ที่พัฒนาขึ้นเอง และจะยินยอมให้บริษัทผู้ผลิตสามารถจ่ายเงินเพื่อซื้อช่องโหว่นั้นๆ เพื่อนำไปพัฒนาและวิจัยต่อไปด้วย

สำหรับช่องโหว่ของ Android (4.0.4) ถูกแฮกโดยนักวิจัยจาก MWR Labs โดยใช้สองช่องโหว่ในการส่งโค้ดอันตรายผ่านทาง NFC เพื่อรันโดยอัตโนมัติ หลังจากรันก็ทำการยกระดับสิทธิ์การทำงาน ผลก็คือแฮกเกอร์สามารถเข้าถึงข้อมูลทุกชนิดบนเครื่องได้ จากผลงานครั้งนี้ทำให้ทีมจาก MWR Labs ได้รับเงินรางวัลไป $30,000

อีกช่องโหว่นึงบน iOS นักวิจัยด้านความปลอดภัยชาวดัตช์ได้ใช้ช่องโหว่จาก WebKit browser engine ในซาฟารีเพื่อเปิดเว็บไซต์ที่มีการฝังโค้ดที่อันตรายเอาไว้ ผลก็คือแฮกเกอร์สามารถเข้าถึงข้อมูลต่างๆ ได้ผ่านทางการส่งข้อมูลกลับมายังเซิร์ฟเวอร์ของแฮกเกอร์ นักวิจัยยังกล่าวเพิ่มอีกว่าช่องโหว่นี้ยังไม่ได้รับการแก้ไขบน iOS 6 (Build 10A403) ที่พึ่งถูกปล่อยออกมา จากผลงานครั้งนี้ทำให้ทั้งสองนักวิจัยได้รับเงินรางวัลไป $30,000 เช่นเดียวกันครับ

ที่มา - H-Online, eSecurity Planet

Get latest news from Blognone

Comments

By: super_lw
ContributorAndroidUbuntuWindows
on 22 September 2012 - 16:18 #477987
super_lw's picture

NFC มันเสี่ยงจริงแฮะ


Educational Technician

By: MDDIN
iPhoneWindows PhoneAndroidUbuntu
on 22 September 2012 - 16:40 #477993

NFC เสี่ยง แต่การนำโค้ดเข้าได้ ต้องผ่าน NFC ซึ่งถ้าเทียบความเสียงที่เกิดจากการเข้าถึงข้อมูลผ่านทางหน้าบราวเซอร์นั้นเป็นความเสี่ยงที่น่ากลัวยิ่งกว่า...

By: mr_tawan
ContributoriPhoneAndroidWindows
on 22 September 2012 - 17:27 #478013 Reply to:477993
mr_tawan's picture

NFC ถ้าไม่เอาเครื่องไปจ่อกับเครื่องของแฮ๊คเกอร์นี่ แทบจะไม่มีอะไรเลย เพราะระยะมันสั้นมาก ...

แต่ปรกติผมปิดไว้นะ ไม่มีใครให้เล่นด้วย มองไปทางไหนก็เจอแต่ไอโฟน เมื่อไหร่จะตามมาซะทีน้า (ว่าแล้วก็นั่งหลับรอ)


  • 9tawan.net บล็อกส่วนตัวฮับ
By: power_supply
Windows Phone
on 22 September 2012 - 18:02 #478028 Reply to:478013
power_supply's picture

+1

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 22 September 2012 - 19:18 #478047 Reply to:478013
PaPaSEK's picture

เป็น คห. ที่เปรี้ยวสุดๆ ครับ

By: inkirby
ContributoriPhoneAndroidIn Love
on 22 September 2012 - 19:23 #478049 Reply to:478047
inkirby's picture

ชิมยังไงครับ?


Dream high, work hard.

By: zerocool
ContributoriPhoneAndroid
on 22 September 2012 - 20:55 #478073 Reply to:478013
zerocool's picture

อันที่จริงจะบอกว่ายากก็ยาก จะบอกว่าง่ายก็ง่ายครับ ผมไม่รู้ว่า NFC บนมือถือนี่ตอนจะใช้ต้องขอ authorization ก่อนทุกครั้งหรือเปล่า ในกรณีนี้ผมจะพูดถึงแบบที่ไม่ต้องขอแล้วกันนะครับ

ผู้ชายมักเอามือถือใส่ไว้ในกระเป๋ากางเกงไม่กระเป๋าหน้าก็กระเป๋าหลัง ซึ่งก็ไม่ใช่จุดที่ยากนักในการเปิดการเชื่อมต่อ NFC โดยไมรู้ตัวนะครับ แค่ยืนใกล้เป้าหมายตอนต่อแถวซื้อของในร้านสะดวกซื้อ ร้านข้าวแกงตอนเที่ยง บนรถไฟฟ้าตอนแออัดเช้าเย็น ยืนเต้นในผับ ก็สามารถเปิดการเชื่อมต่อโดยที่อีกฝ่ายไม่รู้ตัวได้แล้ว สำหรับผู้หญิงก็ง่ายไม่แพ้กันเพราะผู้หญิงมักเอาโทรศัพท์ใส่กระเป๋าถืออยู่แล้ว ยืนเลือกของตอน shopping นั่งรอทำเล็บทำผม นั่งรอทำธุรกรรมที่ธนาคาร ก็เป็นไปได้ทั้งหมด

สิ่งสำคัญอยู่ที่ authorization มากกว่าครับ เรื่องระยะผมว่าคนที่จะพยายาม hack ก็ยังพอหาจังหวะได้อยู่ นี่จึงเป็นสาเหตุที่บัตร smartcard หรือ NFC ต้องมีความปลอดภัยในระดับหนึ่ง


That is the way things are.

By: zendz
iPhone
on 23 September 2012 - 14:26 #478473 Reply to:478073

ขึ้นอยู่กับ mode การทำงาน Passive หรือ active

ถ้าเป็น Active ต้องขอ แต่เป็น passive ไม่ต้องขอ แต่ขึ้นอยู่กับว่า passive เอาไปอ่านอะไรมากกว่า ผมว่า passive น่าจะขึ้นกับ app นะ

By: zerocool
ContributoriPhoneAndroid
on 23 September 2012 - 16:44 #478523 Reply to:478473
zerocool's picture

+1


That is the way things are.

By: tekkasit
ContributorAndroidWindowsIn Love
on 22 September 2012 - 19:49 #478054 Reply to:477993
tekkasit's picture

ระยะทำการของ NFC ส่วนใหญ่ไม่เกิน 4 เซ็นติเมตรเองนะครับ

คือถ้าคนคุณปล่อยให้เค้าเอาอุปกรณ์มาทาบโทรศัพท์มือถือคุณได้
ถ้าเค้าจะหยิบเครื่องคุณเดินไปใช้ก็ไม่แปลกใจเลยนะครับ

By: redmaster
Contributor
on 22 September 2012 - 20:25 #478063 Reply to:477993
redmaster's picture

มองอีกแง่คือเจาะจงเป้าหมายได้ง่ายขึ้น ถ้าเกิดว่าเป็นคนที่เราเจาะจงคนนั้นๆ หรือเปล่า

By: roongroj
iPhoneAndroidRed HatSUSE
on 22 September 2012 - 17:02 #477999
roongroj's picture

สำหรับ iOS ต่างจาก OS อื่น ๆ คือ ไม่ยอมให้ App มีการ Share Resource ดังนั้น แม้สามารถ เจาะเข้าผ่าน Safari บน iOS ได้ แต่ไม่สามารถมีผลกับ ระบบ หรือ App อื่น ๆ ได้

By: Tonser
AndroidWindowsIn Love
on 22 September 2012 - 19:59 #478057 Reply to:477999

อย่างเช่น Jail break me นะหรอครับ

By: roongroj
iPhoneAndroidRed HatSUSE
on 23 September 2012 - 00:29 #478173 Reply to:478057
roongroj's picture

Jailbreak เป็นแค่การแก้ Configuration ของ iOS ผ่านประตุหลัง ( Firmware หรือ BIOS ) ไม่ได้เจาะระบบผ่าน iOS จริง ๆ

By: Zatang
ContributoriPhoneAndroid
on 23 September 2012 - 01:02 #478195 Reply to:478173

ไม่รู้เรียกอะไรยังไงนะ แต่ jailbreak ทำให้ได้สิทธิ์ root อะ


อคติทำให้คนรับเหตุผลด้านเดียว

By: thumb6455
Android
on 23 September 2012 - 02:33 #478234 Reply to:478173

คุณเข้าใจอะไรผิดไปเยอะแล้วนะ เยอะมากด้วย ลองหาอ่านเรื่อง jailbreak ดูนะครับ

By: Nics
iPhoneAndroidWindows
on 22 September 2012 - 17:09 #478000

ผ่าน Safari นี่เอาข้อมูลอะไรไปได้บ้างครับ เข้าใจว่าได้เฉพาะข้อมูล Sand Box Safari?

ส่วน NFC นี่ ก็เชื่อมกับทุกอย่าง โดนหมด

ปล.คือได้ช่องเดียวก็จบเลยรึเปล่าครับ หรือว่ามีให้หาช่องอื่นๆอีก ถ้าสุดท้าย Android โดนแค่จุดเดียวนี่เทพมากนะครับ เปิดขนาดนี้ยังคุมได้เกือบหมด รอดูต่อๆ

By: Dio_O
iPhoneUbuntu
on 22 September 2012 - 17:15 #478003 Reply to:478000

หรือว่าคนเจาะเค้าเจอช่องนี้แล้ว เลยไม่พยามหาช่องอื่นรึเปล่า เพราะหลายๆคนคงเชื่อว่าช่องนี้เป็นจุดอ่อนที่สุดอยู่แล้ว

By: pe3z
Writer
on 22 September 2012 - 17:23 #478009 Reply to:478000

สำหรับ iOS น่าจะมีอีกหลายช่องโหว่ครับ แต่ที่เขานำช่องโหว่นี้มาใช้เพราะมันสามารถใช้แฮกได้บน iOS 6 ด้วยครับ

"We specifically chose this one because it was present in iOS 6 which means the new iPhone coming out today will be vulnerable to this attack," Pol said.

ที่มา - ZDNet

ในส่วนของข้อมูลที่ได้ไป

"...pictures, videos, address book data and browsing history saved on the device to the attackers' server." (จาก H-Online)

ผมจะพยายามยืนยันอีกทีนะครับ เพราะค่อนข้างเป็นความลับมาก

By: Nics
iPhoneAndroidWindows
on 22 September 2012 - 17:28 #478014 Reply to:478009

ได้ไปเยอะแฮะ แต่ก็นะตอนนั้นยังใช้ Jailbreakme เจลผ่าน Safari คงไม่ใช่ช่องเดียวกันแต่ก็ Safari เหมือนเดิม

Apple ก็ยังคงไม่ค่อย Secure เท่าไหร่อยู่ดี

By: pe3z
Writer
on 22 September 2012 - 17:32 #478016 Reply to:478014

Apple ณ จุดที่ไม่ปลอดภัยเท่าไหร่ ก็ยังปลอดภัยมากที่สุดแล้วครับถ้าเทียบกับค่ายอื่น :) (เฉพาะเรื่องความปลอดภัยนะครับ)

By: POR4U
iPhoneWindows PhoneAndroidBlackberry
on 22 September 2012 - 17:44 #478023 Reply to:478009
POR4U's picture

ขอบคุณครับสำหรับข้อมูล ครับ

By: I3assy on 22 September 2012 - 21:03 #478078 Reply to:478009
I3assy's picture

ได้ถึงรูปนึ่ไม่ใช่เล่นๆละ

By: POR4U
iPhoneWindows PhoneAndroidBlackberry
on 22 September 2012 - 17:19 #478006
POR4U's picture

กำลังติดตามรายละเอียดต่อไปว่า ข้อมูลที่ได้จากฝั่ง iOS นั้น เป็นข้อมูลอะไรบ้างจาก Safari

By: power_supply
Windows Phone
on 22 September 2012 - 17:29 #478015 Reply to:478006
power_supply's picture

user's pictures, contacts information, and browsing history

By: POR4U
iPhoneWindows PhoneAndroidBlackberry
on 22 September 2012 - 17:44 #478019 Reply to:478015
POR4U's picture

ขอบคุณครับ พอดีตอนโพส ยังไม่มีความเห็นด้านบน ขอบคุณครับ

By: Dio_O
iPhoneUbuntu
on 22 September 2012 - 19:22 #478048 Reply to:478015

ได้ contacts information นี่เกือบได้ทั้งตัวตนแล้วนะนั้น ยิ่งจดโน๊ตรายละเอียดสำคัญๆไว้ด้วยนี่...เสร็จเลย

By: kritapas.t
iPhoneAndroidBlackberry
on 22 September 2012 - 20:30 #478066
kritapas.t's picture

ถ้าเป็นเมืองไทยก็ ใครแฮกได้ จะได้เป็นพนักงานขององค์กรนั้นๆ และต้องแก้บักที่ตัวเองทำขึ้นด้วย 555

By: zatanx
iPhoneAndroidWindows
on 22 September 2012 - 21:27 #478087
zatanx's picture

ถ้า Hack ผ่าน NFC ได้คงเป็นเพื่อน หรือ คนใกล้ตัวแล้วล่ะ...

By: pe3z
Writer
on 22 September 2012 - 21:32 #478088 Reply to:478087

ไม่จำเป็นนะครับ

By: hisoft
ContributorWindows PhoneWindows
on 22 September 2012 - 21:47 #478096 Reply to:478087
hisoft's picture

บนรถเมล์ รถไฟฟ้า แอบแตะสบายครับ

By: tekkasit
ContributorAndroidWindowsIn Love
on 22 September 2012 - 21:54 #478097 Reply to:478096
tekkasit's picture

บังเอืญผมสูง 178 แถมพกมือถือไว้ที่กระเป๋าเสื้อที่อกตลอด

ถ้าแตะได้นี่ เอิ่ม... ถ้ามันไม่เป็นพวกมือปลาหมึก
ก็คงต้องกอดกันแล้วล่ะ ไม่งั้นก็เป็นพวกแก็งค์ล้วง

By: hisoft
ContributorWindows PhoneWindows
on 22 September 2012 - 23:43 #478140 Reply to:478097
hisoft's picture

ผมก็ยืนกดโทรศัพท์ไปแล้วยื่นใกล้ ๆ ไงครับ เวลารถแน่น ๆ นี่ไม่น่ายาก มั้ง :p #แถ

By: mr_tawan
ContributoriPhoneAndroidWindows
on 23 September 2012 - 08:49 #478280 Reply to:478140
mr_tawan's picture

ลวนลามผู้ชายเลยเหรอครับ ??


  • 9tawan.net บล็อกส่วนตัวฮับ
By: hisoft
ContributorWindows PhoneWindows
on 23 September 2012 - 09:24 #478298 Reply to:478280
hisoft's picture

เอ่อ มันห่างได้สี่เซ็นต์นี่ครับ ผมขอระยะไกลสุดที่จะต่อได้แล้วกัน บรื๋ยยยย~~~

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 24 September 2012 - 10:20 #478818 Reply to:478280
PaPaSEK's picture

เคยทำสินะ ตอนนี้คงเล่นของนอกด้วย

By: PathSNW
iPhoneAndroidSymbianWindows
on 22 September 2012 - 23:27 #478128
PathSNW's picture

nfc นี่ถ้าจอดับไปแล้วยังคงเข้าถึงข้อมูลได้อยู่หรือ ทำไมใน s3 ทำไม่ได้อ่ะ ต้องกดหน้าจอทั้งสองฝ่าย หรือเพราะผมไม่รู้เอง?

By: zerntrinos
ContributorAndroidWindows
on 23 September 2012 - 00:39 #478182 Reply to:478128
zerntrinos's picture

ss มีการทำ authorization หรือป่าวครับ ?


เวลาดูสาวชอบดูสาวขาวๆ Sex Sex เวลาดู Notebook ชอบแบบ"ถึกๆดำๆ"

Twitter : @Zerntrino
G+ : Zerntrino Plus

By: Be1con
ContributorWindows PhoneWindowsIn Love
on 23 September 2012 - 02:30 #478232 Reply to:478182
Be1con's picture

น่าจะต้องมี (มั้ง แต่เพื่อนผมมี ยังไม่ได้ลองเต็ม ๆ กับ 2 เครื่องนั้นเลย)


< Code | Design | Life | Blogger | Beyond >

By: solid
Windows
on 24 September 2012 - 10:20 #478817

เงินรางวัลน้อยไปนะ

By: jinxplay
ContributoriPhoneAndroidWindows
on 24 September 2012 - 15:18 #478970 Reply to:478817
jinxplay's picture

+1 ครับ ถ้าเอา exploit ไปใช้ความเสียหายน่าจะมากกว่านี้เยอะนะ