พบบั๊กแอพ Facebook บนแอนดรอยด์ : ส่งข้อมูลเบอร์โทรศัพท์กลับไปยังเซิร์ฟเวอร์โดยอัตโนมัติ

By nutmos Writer on Tag: Security, Symantec, Facebook
Security

Symantec ได้ค้นพบว่า Facebook บนแอนดรอยด์นั้นมีบั๊กส่งข้อมูลหมายเลขโทรศัพท์ของผู้ใช้ไปยังเซิร์ฟเวอร์ของ Facebook ตอนนี้ Facebook ได้บอกกับ The Next Web ว่าตอนนี้กำลังแก้ปัญหาอยู่ และ Facebook ไม่ได้ใช้ข้อมูลหมายเลขโทรศัพท์เลย แถมยังลบออกจากเซิร์ฟเวอร์ไปแล้วด้วย

Symantec ค้นพบบั๊กนี้โดยบังเอิญ ขณะที่กำลังทำตัวอัพเดตของแอพ Norton Mobile Security บนแอนดรอยด์ โดยลำพังแค่เปิดแอพขึ้นมายังไม่ต้องทำอะไรข้อมูลต่าง ๆ เหล่านั้นก็ถูกส่งไปยังเซิร์ฟเวอร์ของ Facebook แล้ว

Read more

CyanogenMod เตรียมเพิ่มฟีเจอร์เข้ารหัสการส่งข้อความ PushSms

By Blltz Writer on Tag: Security, CyanogenMod
Security

CyanogenMod เผยฟีเจอร์ใหม่ PushSms เพื่อความปลอดภัยในการส่งข้อความบนมือถือ หลังจากมีข่าวโครงการ PRISM ที่ทางสภาความมั่นคงแห่งชาติสหรัฐ (NSA) ใช้เข้าดูข้อมูลของผู้ใช้บนบริการชื่อดังต่างๆ โดยไม่ต้องรอการอนุญาตจากศาล

การทำงานของ PushSms จะเข้ารหัสข้อความที่ส่งออกไปทั้งต้นทาง และปลายทาง (ในกรณีที่ใช้ CyanogenMod ทั้งคู่) โดยส่งผ่าน Google Cloud Messaging ซึ่งการเข้ารหัสจะทำงานอยู่ในระดับเฟรมเวิร์ค และมีผลกับแอพของนักพัฒนาภายนอกอื่นๆ ด้วย (ทดสอบกับ GoSMS แล้ว) โดยรวมแล้วหลักการทำงานคล้ายกับที่แอปเปิลใช้กับ iMessage ครับ

Read more

เครือข่ายภายในของ Opera ถูกแฮกเพื่อขโมยใบรับรองไปเซ็นมัลแวร์

By lew Founder on Tag: Security, Hacking, Opera
Security

โอเปร่า ผู้ผลิตเบราว์เซอร์รายสำคัญอีกรายออกมาเปิดเผยว่าเมื่อวันที่ 19 ที่ผ่านมา เครือข่ายของบริษัทถูกแฮกเกอร์บุกรุก และถูกขโมยใบรับรองดิจิตอลเพื่อไปเซ็นในมัลแวร์

ยังไม่มีรายละเอียดของการโจมตีครั้งนี้มากนัก แต่โอเปร่าระบุว่าใบรับรองที่ถูกขโมยนั้นเป็นใบรับรองที่หมดอายุแล้ว แต่เนื่องจากการตรวจสอบใบรับรองนั้นทำโดยระบบปฎิบัติการ แม้ใบรับรองจะหมดอายุก็อาจจะติดตั้งได้

มัลแวร์ที่พบ จะเข้าหาไฟล์รหัสผ่านของ WS FTP และ CuteFTP ในเครื่อง จากนั้นจึงติดต่อเครื่องแม่และดาวน์โหลดไฟล์เพิ่มเติม

Read more

HP ออกแพตซ์ถอดบัญชีผู้ใช้ลับ ระบุรุ่นล่าสุดแก้ไขไปแล้ว

By lew Founder on Tag: HP, Security
HP

เมื่อวานนี้หลังจากข่าวการพบบัญชีผู้ใช้ HPSupport บนเซิร์ฟเวอร์ HP StoreOnce ตอนนี้ทางเอชพีก็ออกแพตซ์ออกมาแก้ปัญหานี้แล้ว โดยระบุว่าซอฟต์แวร์ StoreOnce รุ่นที่มีบัญชีผู้ใช้เช่นนี้จะเป็นรุ่น 2.2.17 หรือเก่ากว่าเท่านั้น และไม่มีผลกับรุ่น 3.0.0 ขึ้นไปที่ทำตลาดในปัจจุบัน

สำหรับหน่วยงานที่ใช้เครื่องรุ่นใดรุ่นหนึ่ง จากรายการเครื่องที่มีผลกระทบทั้ง 20 รุ่น ก็ควรอัพเกรดโดยเร็วครับ

Read more

กูเกิลเพิ่มรายงานมัลแวร์และเว็บฟิชชิ่งเข้า Transparency Report

By lew Founder on Tag: Google, Security, Malware, Phishing, Transparency Report
Google

กูเกิลเพิ่มรายงานปริมาณมัลแวร์และเว็บฟิชชิ่งเข้าใน Transparency Report หรือรายงานความโปร่งใสของบริษัท

รายงานนี้จะอยู่ในหัวข้อ Safe Browsing แยกออกจาก หัวข้อ Traffic รายงานการเข้าถึงกูเกิลซึ่งอาจจะสะท้อนการบล็อกเว็บของรัฐบาล, Removal Requests รายงานการขอลบข้อมูลออกจากกูเกิล, และ User Data Requests การขอข้อมูลผู้ใช้โดยรัฐบาล

Read more

HP ใส่บัญชีซัพพอร์ตไว้ใน StoreOnce ทุกเครื่อง

By lew Founder on Tag: HP, Security, Storage
HP

เว็บ lolware รายงานถึงบัญชี "HPSupport" ที่ถูกใส่ไว้ในสตอเรจเซิร์ฟเวอร์ตระกูล StoreOnce หรือชื่อเดิม D2D เป็นบัญชีผู้ดูแลระบบที่ไม่ได้แจ้งผู้ใช้ไว้ล่วงหน้าว่ามีปัญชีนี้อยู่

รหัสผ่านของบัญชีนี้ถูกเก็บเป็นค่า SHA1 78a7ecf065324604540ad3c41c3bb8fe1d084c50 โดยตอนนี้ยังไม่พบว่าคำก่อนแฮชคืออะไร แต่หลังจากนี้คงมีการแข่งกันแฮ็กรหัสผ่านนี้ในเร็วๆ นี้

ในรายงานระบุว่าผู้ค้นพบได้รายงานปัญหานี้ไปยังเอชพีก่อนหน้านี้แล้วสามสัปดาห์แต่เอชพีไม่ยอมรับว่ามีปัญหา ทำให้ผู้พบปัญหาสามารถแจ้งสู่สาธารณะได้ทันที

Read more

พบบั๊กใน Facebook ส่งผลให้ที่อยู่ติดต่อผู้ใช้หลุด 6 ล้านบัญชี

By mk Founder on Tag: Security, Privacy, Facebook
Security

Facebook ออกมาประกาศบั๊กของระบบ ที่สร้างผลกระทบให้ผู้ใช้สามารถดูข้อมูลที่อยู่ติดต่อ (เบอร์โทรศัพท์และอีเมล) ของผู้ใช้คนอื่นๆ ที่มีเพื่อนคนเดียวกันได้

Read more

ไมโครซอฟท์ใจป๋า! ยื่นคำท้า "หาช่องโหว่ Windows 8.1 เจอ เอาไปเลย 100,000 เหรียญ"

By magnamonkun on Tag: Security, Bug, Operating System, Internet Explorer, Windows 8, Windows 8.1, Microsoft
Security

ยิ่งใกล้ช่วงที่ไมโครซอฟท์จะปล่อยตัวพรีวิวแรกของ Windows 8.1 ไมโครซอฟท์ก็จัดแคมเปญเรียกขวัญนักพัฒนา แฮคเกอร์ หรือแม้แต่ผู้ดูแลระบบทั่วโลก โดยให้เข้าทดสอบ Windows 8.1 พร้อมกัน และยื่นคำท้าว่า ถ้าหาบั๊กใน Windows 8.1 เจอและส่งรายงานให้ไมโครซอฟท์ตรวจสอบเป็นคนแรก ถ้าไมโครซอฟท์เจอจริง รับเงินรางวัลกลับไปนอนกอดได้เลยครับ

โดยหัวข้อที่ไมโครซอฟท์จะเปิดรับแจ้งเพื่อชิงเงินรางวัล จะมีดังต่อไปนี้

Read more

รหัสผ่าน Mobile Hotspot บน iOS ถูกเดาได้ภายในไม่ถึง 50 วินาที

By Blltz Writer on Tag: Security, iOS, Password
Security

ทีมนักวิจัยจากมหาวิทยาลัยเออร์ลานเกน ประเทศเยอรมนีเผยผลการวิจัยเกี่ยวกับความปลอดภัยในการตั้งรหัสผ่าน พบว่าสามารถเดารหัสผ่านของ Mobile Hotspot ใน iOS ได้ภายในเวลาสั้นๆ

โดยทีมนักวิจัยดังกล่าวได้อธิบายถึงระบบเดารหัสผ่าน Mobile Hotspot ใน iOS ด้วยคำศัพท์จากเกม Scrabble จำนวนกว่า 52,500 รูปแบบ จากการโจมตีด้วยโดยใช้คำดังกล่าว สามารถเดารหัสผ่านของ Mobile Hotspot ใน iOS ได้อย่างสมบูรณ์ และพบว่าแอปเปิลเลือกใช้ชุดคำมาตั้งเป็นรหัสผ่านเพียง 1,842 รูปแบบเท่านั้น

Read more

pod2g อาจอำลาวงการแฮก iOS หลังไม่ปลื้ม iOS 7, ตั้งใจไปซบ Android

By Be1con Contributor on Tag: Security, Android, Jailbreak, iOS, iOS 7
Security

pod2g นักแฮก iOS ชื่อก้อง เจ้าของแอพสามัญประจำคน jailbreak อย่าง Installous, No SIM Unlock ฯลฯ ประกาศผ่านทวิตเตอร์ว่า pod2g เตรียมอำลาวงการ jailbreak บน iOS อย่างเป็นทางการ หลังจากที่ iOS 7 ได้สร้างความผิดหวังกับเขาไว้อย่างมาก พร้อมทั้งบอกว่า เตรียมย้ายไปใช้ Android แทน สุดท้ายเขายังบอกว่า นี่แค่รุ่นทดสอบแรก และคาดว่ายังคงรอรุ่นทดสอบตัวต่อไป แต่ส่วนตัวคิดว่า ถ้ารุ่นต่อมายังไม่ประทับใจอีก ก็คงหนีไปซบ Android ถาวรก็เป็นได้

Read more

Asymmetric Cryptography: แตกต่างแต่เข้าใจกัน

By lew Founder on Tag: Special Report, Security, In-Depth
Special Report

กระบวนการเข้ารหัสที่สำคัญอย่างแบบกุญแจสมมาตร (symmetic key encryption) ในตอนที่แล้วแม้จะสามารถป้องกันการดักฟังได้อย่างมีประสิทธิภาพ แต่ข้อจำกัดคือทั้งสองฝ่ายต้องรับรู้ “ความลับ” ร่วมกัน และข้อจำกัดที่สำคัญมากคือ ผู้ที่รู้ความลับนี้ทุกคนจะเข้าไปอ่านข้อความได้ทั้งหมด

Read more

ร่างกฎหมายความมั่นคงทางไซเบอร์ของญี่ปุ่นให้อำนาจทหารตรวจสอบอินเทอร์เน็ต

By lew Founder on Tag: Security, Privacy, Japan
Security

โครงการ PRISM ของสหรัฐฯ กำลังถูกวิจารณ์จากทั่วโลกว่าละเมิดต่อประชาชนของตัวเองและชาติอื่นๆ แต่ร่างกฎหมายความมั่นคงทางไซเบอร์ (Cyber Security 2013) กำลังเปิดโอกาสให้กองกำลังป้องกันตนเองของญี่ปุ่น (เพราะญี่ปุ่นไม่มีกองทัพอย่างเป็นทางการ แต่หน้าที่ของกองกำลังคล้ายกัน) ตั้งศูนย์ตรวจสอบข้อมูลอินเทอร์เน็ตได้

Read more

[Ask Blognone] บริการใดยังต้องใช้ Java Applet

By lew Founder on Tag: Java, Security, Ask Blognone
Java

ปัญหาความปลอดภัยของ Java Applet เป็นปัญหาต่อเนื่องในปีที่ผ่านมา ล่าสุดช่องโหว่ถูกปรับแต่งมาใช้เพื่อโจมตีคนไทยโดยเฉพาะ Ask Blognone ตอนนี้ขอเชิญทุกท่านมาช่วยกันให้ข้อมูล ว่ายังมีบริการใดสำหรับคนทั่วไป ไม่ว่าฟรี, เสียเงิน, ต้องสมัครสมาชิก ฯลฯ (ไม่นับบริการภายในองค์กรที่ให้เฉพาะพนักงานใช้งาน) ที่ยังให้ผู้ใช้ต้องติดตั้ง Java เพื่อรัน Java Applet อยู่บ้าง

ข้อมูลที่ควรมี

Read more

iOS7 beta มีช่องโหวเข้าถึงภาพในเครื่องโดยไม่ต้องผ่าน Lock Screen

By LazarusSP1 Contributor on Tag: Apple, Security, iOS 7, iPhone
Apple

เมื่อคืนวันจันทร์ที่ผ่านมา Apple เปิดตัว iOS 7 ในงาน WWDC และได้เปิดให้โหลดรุ่น Beta สำหรับนักพัฒนา เมื่อจบงาน WWDC ก็มีมือดีสามารถค้นหาช่องโหว่ที่สามารถเข้าถึงรูปภาพในเครื่องโดยไม่ต้องใส่รหัสผ่าน

Read more

เว็บไซต์สำนักข่าวในไทยหลายแห่งถูกเจาะ มีโทรจันขโมยเงินจากธนาคาร

By Bigta Contributor on Tag: Java, Security, Thailand, Banking, Trojan
Java

เมื่อวันที่ 12-13 มิถุนายนที่ผ่านมา เว็บไซต์สำนักข่าวในประเทศไทยหลายแห่ง ได้ถูกเจาะระบบเพื่อฝังโทรจันที่โจมตีผ่านช่องโหว่ของ Java

โทรจันตัวนี้จะไปแก้ไขหน้าเว็บไซต์ของธนาคารออนไลน์ในประเทศไทย ให้แสดงลิงก์สำหรับใส่เบอร์มือถือเพื่อรับ SMS ดาวน์โหลดโปรแกรม AVG AntiVirus Mobile Pro สำหรับติดตั้งใน Android โดยโปรแกรมดังกล่าวเป็นโปรแกรมแอนตี้ไวรัสปลอม จุดประสงค์เพื่อขโมย SMS OTP จากธนาคาร

สำหรับข้อมูลเพิ่มเติมของโทรจัน รวมถึงวิธีการตรวจสอบและแก้ไข สามารถอ่านได้จากที่มาครับ

ที่มา: ThaiCERT

Read more

Google ปรับเพิ่มเงินรางวัลสำหรับผู้ค้นพบช่องโหว่ของเว็บไซต์

By ตะโร่งโต้ง Writer on Tag: Google, Security, Bug, Web Security
Google

Google ประกาศปรับอัตราเงินรางวัลสำหรับผู้แจ้งช่องโหว่ของเว็บเพิ่มขึ้นหลังจากที่เพิ่งปรับอัตราการจ่ายเงินรางวัลไปเมื่อไม่กี่เดือนก่อน

Google ได้ปรับเกณฑ์การให้รางวัลสำหรับผู้ค้นพบช่องโหว่โดยการทำ XSS (cross-site scrpting) ซึ่งเป็นการฝังโค้ดเข้าไปในหน้าเว็บไซต์ที่มีช่องโหว่นั้นเพื่อดักจับข้อมูลสำคัญในระหว่างที่ผู้ใช้งานเปิดเข้าใช้หน้าเว็บไซต์ดังกล่าว

Read more

นักวิจัยบอกแค่ใช้ที่ชาร์จแบบพิเศษก็แฮ็ก iPhone หรือ iPad ได้ใน 1 นาที

By ตะโร่งโต้ง Writer on Tag: Security, Hacking, iOS
Security

นักวิจัยด้านความปลอดภัยเผยว่าเขาค้นพบวิธีการที่จะแฮ็กอุปกรณ์ที่ใช้ระบบปฏิบัติการ iOS ได้สำเร็จภายใน 1 นาที โดยใช้เพียงที่ชาร์จไฟซึ่งได้รับการดัดแปลงพิเศษเท่านั้น

ทีมนักวิจัยจากสถาบัน Georgia Institute of Technology เผยว่าต้นแบบที่ชาร์จไฟซึ่งได้รับการดัดแปลงแบบพิเศษซึ่งพวกเขาเรียกมันว่า "Mactans" สามารถปล่อยมัลแวร์เข้าสู่อุปกรณ์ iOS ได้หลังจากเสียบสายชาร์จดังกล่าวเข้ากับอุปกรณ์เป็นเวลา 1 นาทีเท่านั้น

Read more

ออราเคิลออกนโยบายความปลอดภัยแก้ปัญหา Java รั่ว, ออก Server JRE รุ่นไร้ปลั๊กอิน

By mk Founder on Tag: Java, Security, Oracle
Java

ปัญหาความปลอดภัยของ Java ในรอบปีสองปีที่ผ่านมาสร้างชื่อเสียงทางลบอย่างมาก จนออราเคิลต้องออกมาประกาศนโยบายด้านความปลอดภัยใหม่ของ Java ชุดใหญ่ ดังนี้

Read more

LinkedIn เริ่มใช้ระบบล็อกอินสองชั้น Two-Step Verification

By mk Founder on Tag: Security, LinkedIn, Authentication
Security

LinkedIn เป็นบริการออนไลน์รายล่าสุดที่เริ่มใช้ระบบล็อกอินสองชั้น (two-step verification) เช่นเดียวกับบริการออนไลน์อีกหลายรายที่นำร่องไปก่อนแล้ว

กระบวนการทำงานก็ไม่ต่างจากยี่ห้ออื่นคือยืนยันตัวตนอีกชั้นผ่าน SMS และยังเป็นแค่ทางเลือก (optional) ให้ผู้ใช้เลือกเปิดใช้งานกันเองโดยไม่บังคับ วิธีการเปิดใช้คือเข้าไปยัง Settings > Account > Manage Security ครับ

ที่มา - LinkedIn Blog

Read more

ไมโครซอฟท์วิเคราะห์ข้อมูล Botnet แบบเรียลไทม์ด้วยพลังแห่งหมู่เมฆ Azure

By mk Founder on Tag: Security, Cloud Computing, Botnet, Microsoft, Microsoft Azure
Security

ไมโครซอฟท์มีทีม Digital Crimes Unit ที่มีผลงานทลายกลุ่มเซิร์ฟเวอร์ติดโทรจัน (botnet) มาแล้วหลายครั้ง (ข่าวเก่า 1, ข่าวเก่า 2)

ทีมนี้ของไมโครซอฟท์ทำงานร่วมกับ ISP และหน่วยงานด้านความปลอดภัยไซเบอร์ (Computer Emergency Response Teams - CERT) ทั่วโลก มีการแชร์ข้อมูล botnet ระหว่างกันอยู่เสมอ แต่กระบวนการแชร์ข้อมูลยังล้าสมัย (ผ่านอีเมล) แถมการตรวจสอบเซิร์ฟเวอร์จำนวนมหาศาลทั่วโลก (วันละหลายร้อยล้านครั้ง) ก็ไม่ใช่เรื่องง่าย

Read more
Subscribe to Security