Tags:
Node Thumbnail

ผู้ใช้ iOS พึงระวังการหลอกล่อให้ติดตั้งมัลแวร์ ซึ่งมันอาจอาศัยช่องโหว่ที่ชื่อ Masque Attack และติดตั้งตัวเองแบบเนียนๆ (ทำได้ทั้งวิธีการผ่านช่องทาง USB และการเชื่อมต่อแบบไร้สาย) เพื่อทำการสูบเอาทุกสิ่งทุกอย่างใน iPhone ไปให้ผู้ไม่หวังดีได้

จากรายงานของบริษัทวิจัยด้านความปลอดภัย FireEye ระบุว่า iOS มีช่องโหว่อันหนึ่งที่หากมีแอพไม่พึงประสงค์ถูกติดตั้งลงใน iPhone (หรือ iPad) มันสามารถอาศัยจุดบอดนี้ทำการปลอมตัวเป็นแอพตัวอื่น และติดตั้งตัวเองแทนที่แอพแท้นั้นเพื่อทำการสูบข้อมูลส่วนบุคคลของผู้ใช้ไป (มีข้อยกเว้นเฉพาะแอพที่ถูกติดตั้งมาในอุปกรณ์โดย Apple เอง ที่มัลแวร์ตัวนี้ไม่สามารถปลอมตัวไปแทนที่ได้)

FireEye ได้สร้างวิดีโอสาธิตความเป็นไปได้ในการใช้ช่องโหว่ดังกล่าวซึ่งถูกตั้งชื่อว่า Masque Attack เป็นช่องทางในการแทรกซึมเข้าไปล้วงข้อมูลของผู้ใช้จาก iPhone ในวิดีโอดังกล่าวแสดงให้เห็นข้อความ SMS หลอกล่อผู้ใช้ให้ดาวน์โหลดเกม Flappy Bird ภาคใหม่มาติดตั้ง ซึ่งเมื่อผู้ใช้กดลิงก์ใน SMS นั้นแล้ว มันจะพาเขาไปสู่หน้าเว็บและเจอกับข้อความคำถามให้ผู้ใช้ยืนยันว่าต้องการติดตั้ง Flappy Bird ภาคใหม่หรือไม่ หากแต่ทว่าเมื่อผู้ใช้เลือกยืนยันการติดตั้งแอพแล้ว สิ่งที่มันติดตั้งกลับกลายเป็นแอพ Gmail ปลอมที่มาแทนที่แอพ Gmail ของแท้ใน iPhone โดยที่ผู้ใช้อาจไม่รู้ตัว และแน่นอนว่า iPhone เองก็ไม่รู้ว่าตอนนี้มีแอพไม่พึงประสงค์มาแอบแฝงในเครื่องแล้ว

แอพดังกล่าวที่มาทำเนียนเป็น Gmail จะสามารถรับเอาข้อมูลของผู้ใช้ทั้งหมดที่เชื่อมโยงกับแอพ Gmail แท้ และแน่นอนว่ามันอาจเดินหน้าขุดควานหาข้อมูลอื่นๆ ของผู้ใช้จาก iPhone ได้อีก ทั้งนี้การปิดอุปกรณ์แล้วเปิดใหม่ก็ไม่อาจหยุดการทำงานของมัลแวร์นี้ได้แต่อย่างใด

การที่มัลแวร์สามารถติดตั้งตัวเองแทนที่แอพตัวอื่นในอุปกรณ์ได้นั้นเป็นการอาศัยความสามารถของฟังก์ชันใน iOS ที่ถูกออกแบบมาเพื่อการใช้งานในองค์กร ซึ่งฝ่ายไอทีขององค์กรสามารถใช้ฟังก์ชันนี้ในการติดตั้งและอัพเดตแอพขององค์กรเองสู่เครื่อง iPhone หลายเครื่องของพนักงานได้อย่างสะดวกโดยไม่ต้องทำผ่าน App Store ของ Apple

ส่วนสาเหตุที่ iOS ไม่อาจตรวจพบมัลแวร์ที่ทำการปลอมตัวเป็นแอพตัวอื่นได้นั้น FireEye อธิบายว่าเป็นเพราะมัลแวร์ดังกล่าวใช้ "bundle identifiers" (หมายถึงข้อมูลสตริงที่อุปกรณ์ใช้เพื่อยืนยันตัวแอพ โดยแอพแต่ละตัวก็จะมี bundle identifiers ที่เป็นเอกลักษณ์ของตนเอง) เหมือนกับแอพแท้ที่โดนมันสวมรอย (กรณีในวิดีโอสาธิตนี้ มัลแวร์ใช้ bundle identifiers ชุดเดียวกันกับแอพ Gmail ของแท้)

FireEye พบว่าจุดบอด Masque Attack นี้มีใน iOS หลากหลายรุ่นทั้ง 7.1.1, 7.1.2, 8.0, 8.1 และ 8.1.1 beta ที่เพิ่งปล่อยมาล่าสุด และพบได้ทั้งในอุปกรณ์ที่ผ่านและไม่ผ่านการ jailbreak ซึ่ง FireEye ก็ได้แจ้งเตือน Apple ให้รู้ตัวเรื่องนี้มาตั้งแต่ปลายเดือนกรกฎาคมที่ผ่านมา แต่เนื่องจากการไร้ซึ่งปฏิกิริยาใดๆ ของ Apple กระทั่งเมื่อสัปดาห์ที่แล้วมีการเผยแพร่ข่าวการพบมัลแวร์ "WireLurker" ที่สามารถบุกเข้าสู่อุปกรณ์ได้ทาง USB และอาศัยใช้ช่องทาง Masque Attack ในการสร้างความเสียหาย จึงทำให้ FireEye ตัดสินใจนำเรื่องนี้ออกมาตีแผ่ต่อสาธารณะในที่สุด

แม้ว่าจนถึงขณะนี้ Apple จะยังคงรูดซิปปากเงียบกริบไม่ชี้แจงการแก้ปัญหาเรื่องนี้แต่อย่างใด ทาง FireEye ก็ได้ให้คำแนะนำที่ผู้ใช้อุปกรณ์ iOS สามารถปฏิบัติตามได้ง่ายๆ ว่าห้ามติดตั้งแอพจากแหล่งที่มาอันไม่น่าไว้ใจ (ซึ่งหมายถึงที่ใดก็ตามที่ไม่ใช่ App Store ของ Apple หรือแหล่งดาวน์โหลดแอพขององค์กรหน่วยงานของผู้ใช้เอง)

ป.ล. ไม่รู้ข่าวนี้จะทำให้ฝ่ายไอทีของ Home Depot ต้องสั่งซื้อคอมพิวเตอร์กับโทรศัพท์เพิ่มอีกหรือไม่

ที่มา - FireEye via The Next Web

Get latest news from Blognone

Comments

By: NoppawanConan
ContributoriPhoneAndroidWindows
on 11 November 2014 - 03:41 #762589
NoppawanConan's picture

ยังไง iOS, Mac OS X ปลอดภัยกว่า Windows ที่ปล่อยให้มีรูรั่วอยู่แล้ววว -- Home Depot ไม่ได้กล่าวเอาไว้


แค่มนุษย์คนนึงที่อยากรู้เกี่ยวกับวงการไอที

By: TheYoonuchs
Windows PhoneWindows
on 11 November 2014 - 05:18 #762596 Reply to:762589
TheYoonuchs's picture

หนีเสือปะจรเข้...

By: mr_tawan
ContributoriPhoneAndroidWindows
on 11 November 2014 - 03:43 #762590
mr_tawan's picture

ป.ล. ไม่รู้ข่าวนี้จะทำให้ฝ่ายไอทีของ Home Depot ต้องสั่งซื้อคอมพิวเตอร์กับโทรศัพท์เพิ่มอีกหรือไม่

เผลอ ๆ ฝ่ายไอทีคงต้องลงทุนสร้าง OS ขึ้นมาใหม่เลยทีเดียว


  • 9tawan.net บล็อกส่วนตัวฮับ
By: sp on 11 November 2014 - 08:24 #762624

แปลก ... iOS ไม่เหมือน Android การติดตั้ง App ใน iOS สำหรับ consumer ต้องผ่าน iTune App Store เท่านั้น ไม่สามารถติดตั้งโดยการ download จาก Web site ได้ จะกระทบก็เฉพาะพวกที่ใช้ขององค์กร ซึ่งการติดตั้งก็ต้องผ่านหน่วยงาน IT ขององค์กรเท่านั้น ถ้าจะติด ก็พวก IT นั่นแหละ

By: Bigta
ContributoriPhoneAndroidUbuntu
on 11 November 2014 - 08:51 #762636 Reply to:762624
Bigta's picture

iOS สามารถติดตั้งแอปนอก App Store โดยการดาวน์โหลดจากเว็บไซต์ได้ครับ รายละเอียดก็ตามในข่าวและในคลิปนั่นแหละครับ ผู้ใช้ทั่วไปก็โดนได้หมด

By: redgene
iPhoneAndroid
on 11 November 2014 - 10:26 #762688 Reply to:762636

หมายถึงพวก enterprise dev license ถึงสามารถทำ app มี key ทีให้โหลดจากภายนอกป่าวครับ? คือ ถ้าเป็น key license dev ปกติทำ ผมว่าไม่น่าจะได้

By: sp on 11 November 2014 - 11:06 #762700 Reply to:762636

Confirm ว่าผู้ใช้ทั่วไปทำไม่ได้ครับ ต้องเป็น Enterprise/adhoc ถึงจะทำได้ ช่วงนี้จะมีข่าวโจมตี iPhone ที่เกินจริงเยอะเพราะขายดีเกินจนคู่แข่งเริ่มใช้วิธีสกปรกโจมตีรุนแรงมากขึ้น อย่างเรื่อง iPhone 6 Plus รุ่น 128 GB ที่ติด boot loop ที่บอกว่าเกิดจาก hardware มีต้นเรื่องมาจากแหล่งข่าวในเกาหลี นั่นก็ไม่เป็นความจริง สุดท้ายแล้วพบว่าต้นตอข่าวเป็นบริษัทที่มีความสัมพันธ์กับบริษัทมือถือเกาหลีค่ายหนึ่ง นี่ก็ต้องการโจมตีตลาด Enterprise ของ Apple ที่กำลังเริ่มมาแรง

By: Bigta
ContributoriPhoneAndroidUbuntu
on 11 November 2014 - 11:17 #762706 Reply to:762700
Bigta's picture

ผู้ใช้ทั่วไปสามารถ​ติดตั้งแอปผ่านวิธี​ adhoc ได้โดยไม่ต้องทำอะไรเพิ่มเลยครับ​ แต่เข้าเว็บแล้วกด​ install

จริงๆ​แล้วปัญหานี้มันไม่ใช่เรื่องใหม่ด้วยซ้ำครับ​ เพราะมีคนพูดเรื่องนี้ในงาน​ Blackhat ตั้งแต่ปีที่แล้ว​ และ​มัลแวร์​ WireLurker​ ก็ใช้วิธีเดียวกัน​นี้ในการโจมตีอยู่แล้ว

ข่าวนี้มันสามารถ​ proof​ ได้ครับว่าจริงหรือไม่จริง​ ไม่ใช่จะเหมารวมว่าข่าวอะไรที่เป็นผลเสียต่อ​ Apple​ จะเป็นข่าวโจมตีไปซะทั้งหมด

By: redgene
iPhoneAndroid
on 11 November 2014 - 14:36 #762780 Reply to:762700

ผู้ใช้ทั่วไปติดตั้งได้ครับถ้าทาง dev เค้ามี enterprise license ประเด็นนี้คือ apple จะตรวจสอบหรือมีมาตรการอย่างไรกับบริษัทที่ได้รับ license นี้น่ะครับ ส่วนผุ้ใช้ทั่วไปผมว่าก็เลี่ยงอย่าลงแอพนอก apple store นะครับ

By: TeamKiller
ContributoriPhone
on 11 November 2014 - 21:05 #762874 Reply to:762700
TeamKiller's picture

Boot loop นี่ ไม่จริงหรอครับ ?

By: alph501
iPhoneWindowsIn Love
on 11 November 2014 - 08:25 #762625
alph501's picture

iPad ผมเวลาเข้าเว็ป บางเว็ป มันจะพยายาม รีไดเรคไปยังเวปโหลด app อะไรซักอย่างแล้ว iPad ก็พยายาม เด้งไปในหน้า iTune รู้สึกไม่ค่อยปลอดภัยไงไม่รู้

By: Alios
iPhoneAndroidWindows
on 11 November 2014 - 09:22 #762653 Reply to:762625

เท่าที่เคยเจอมันเป็นเว็บย่อ url ครับ

By: nrml
ContributorIn Love
on 11 November 2014 - 09:29 #762656 Reply to:762625
nrml's picture

ผมว่าถ้าเด้งไปหน้า iTunes ก็ยังรู้สึกปลอดภัยอยู่นะครับ

By: Bigta
ContributoriPhoneAndroidUbuntu
on 11 November 2014 - 09:35 #762664 Reply to:762625
Bigta's picture

เมื่อคืนผมใช้ iPad เข้าเว็บ ก็โดน Redirect ไปเว็บที่หลอกให้ติดตั้งแอปตามวิธีแบบในข่าวนี้เลยแหละครับ (เข้าใจว่ามันมี Ads บางตัว Redirect ไป) เคสนี้ถ้า Apple ไม่รีบแก้ ผู้ใช้ทั่วไปคงโดนกันไม่ใช่น้อย เพราะคงมีหลายคนที่เปิดเว็บมาแล้วพอเห็นปุ่มให้กด Install ก็ไม่คิดอะไร กด Yes ไปเลย

By: Alios
iPhoneAndroidWindows
on 11 November 2014 - 08:28 #762627

ยังมาในลักษณะสแปมเพื่อหลอกให้ผู้ใช้งานกดลิงค์อยู่ สู้ดีแทคไม่ได้ ผมนอนอยู่ดีๆ มีข้อความเด้งขอบคุณที่สมัครใช้บริการ โดนไปวันละ 6 บาท ยกเลิกก็ไม่ได้ ติดต่อดีแทคก็บอกต้องติดต่อผู้ให้บริการเอง เซ็งสุดๆ

By: Be1con
ContributorWindows PhoneWindowsIn Love
on 11 November 2014 - 09:27 #762655
Be1con's picture

โหดร้าย


Coder | Designer | Thinker | Blogger

By: Bigkung
iPhoneWindows Phone
on 11 November 2014 - 09:49 #762674
Bigkung's picture

ในกรณีนี้ก็โดนกันถ้วนหน้าครับ ถ้ากดโหลดหล่ะนะ เล่นเลียนแบบ bundle identifiers กันเลยนินา

By: check
Android
on 11 November 2014 - 10:19 #762685
check's picture

ยังไงก็ยังปลอดภัยกว่าแอนดรอย์ปะ ที่แอพที่มีมัลแวร์อยู่บน Play Store ได้อย่างสบายๆ

By: put4558350
ContributorAndroidUbuntuWindows
on 11 November 2014 - 21:25 #762876 Reply to:762685
put4558350's picture

ทั่วไปอยู่ไม่ใด้นะครับ มี Bouncer จัดการอยู่

ที่โดนมาตลอดคือหลอกให้ติดตั้ง app นอก store + ปิดระบบตรวจสอบ app อันตราย


samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: lancaster
ContributorUbuntuWindows
on 12 November 2014 - 00:14 #762917 Reply to:762685

ของ android ต้องเข้า setting ของเครื่องเพื่อไปเปิดให้ลงแอพจากนอก store ได้ก่อนครับ

By: Witna
ContributoriPhoneAndroidWindows
on 11 November 2014 - 10:38 #762692

ไม่ว่าจะอะไร ถ้าไม่รอบคอบก็โดนหมดแหละครับ

ไม่เหมือนเมื่อก่อนที่กล้าพูดได้ว่าแมคปลอดภัยได้เต็มปากอีกแล้ว

ยิ่งส่วนแบ่งตลาดเยอะ ก็ยิ่งตกเป็นเป้า
และก็เป็นความจริงที่ ไม่มีระบบไหนปลอดภัยที่สุด

ทีงี้ก็ขึ้นอยู่กับฝ่ายผู้ให้บริการ ว่าจะแก้ไข ป้องกัน อุดรอยรั่วอะไรได้ดี ได้เร็วขนาดไหน
ผมว่าแอปเปิ้ลอาจจะเป็นฝ่ายเสียเปรียบด้วยซ้ำ ที่ประสพการณ์ด้านนี้น้อยกว่า

By: plawanja
Android
on 11 November 2014 - 10:49 #762695 Reply to:762692
plawanja's picture

ผมว่า windows & android user คงไม่ภูมิใจที่มีประสบการณ์มากกว่าหรอกนะครับ... หรือผมเข้าใจผิด

By: LazarusSP1
ContributoriPhone
on 11 November 2014 - 15:01 #762787
LazarusSP1's picture

มัลแวร์ ก็แบ่งๆ กันมีก็ได้ครับ

By: zezolo on 12 November 2014 - 11:41 #763026
zezolo's picture

ถ้าไม่ได้ใช้แอพ gmail ก็จะไม่เจอมัลแวร์ตัวนี้ใช่ไหมครับ

จะแปลกใจอีกทีก็ตอนที่ gmail โผล่มา

By: mementototem
ContributorJusci's WriterAndroidWindows
on 12 November 2014 - 20:18 #763135 Reply to:763026
mementototem's picture

gmail ในข่าวนี้เป็นแค่ตัวอย่างเฉย ๆ ครับ แอพเป็นแอพอะไรก็ได้ครับ แล้วแต่ hacker จะเลือก ขอแค่ไม่ใช่แอพที่ติดมากับระบบ (พวก safari, contact, phone อะไรพวกนี้)


Jusci - Google Plus - Twitter - FSN