พบการโจมตีช่องโหว่ของเซิร์ฟเวอร์ Microsoft SharePoint ในหลายประเทศ โดยเป็นช่องโหว่หมายเลข CVE-2019-0604 ที่ไมโครซอฟท์ออกแพตช์มาแล้วตั้งแต่เดือนกุมภาพันธ์

เวอร์ชันของซอฟต์แวร์ที่ได้รับผลกระทบ มีตั้งแต่ Microsoft SharePoint Server 2010, 2013, 2016, 2019 ส่วนรูปแบบการโจมตีที่กลุ่มแฮ็กเกอร์ใช้งานคือ ฝังมัลแวร์เพื่อควบคุมเซิร์ฟเวอร์ รวมถึงใช้ SharePoint Server เป็นฐานเพื่อเข้าไปยึดครองระบบภายในองค์กรเพิ่มเติม

ตอนนี้หน่วยงานด้านความมั่นคงไซเบอร์ของแคนาดา (Canadian Centre for Cyber Security) และซาอุดีอาระเบีย (Saudi National Cyber Security Center - NCSC) ออกประกาศเตือนภัยแล้ว

หลังจาก Mozilla พบปัญหาใบรับรองหมดอายุจนทำให้ add-on หลายตัวไม่ทำงานพร้อมกัน ล่าสุด Eric Rescorla ซีทีโอของ Firefox ได้เขียนรายละเอียดเกี่ยวกับเหตุการณ์ครั้งนี้แล้วว่าทำไมจึงเกิดเหตุการณ์แบบนี้ได้ และจะป้องกันเหตุการณ์ที่จะเกิดขึ้นในอนาคตอย่างไร

Rescorla ระบุว่า ทุกวันนี้ Firefox มี add-on อยู่ราว 15,000 ตัว โดย Firefox กำหนดให้ add-on ทั้งหมดที่ถูกติดตั้งจะต้องผ่านการเซ็นรับรองด้วยด้วยลายเซ็นดิจิทัลเพื่อป้องกัน add-on ที่ไม่พึงประสงค์ โดยทีมงานของ Mozilla จะเป็นผู้ตรวจสอบ add-on เอง

ในงาน Google I/O ปีนี้กูเกิลเปิดเผยข้อมูลเพิ่มเติมของ Android Q หลายอย่าง แม้จะมีฟีเจอร์ที่น่าตื่นเต้นสำหรับผู้ใช้ เช่น Live Caption ที่สามารถแปลงเสียงเป็นข้อความได้ทั้งเสียงจากในโทรศัพท์และเสียงจากภายนอก, หรือ Assistant ตัวใหม่ที่ทำงานเร็วขึ้นและมีฟีเจอร์มากขึ้น แต่หัวใจของฟีเจอร์ทั้งหมดคือกูเกิลแก้ข้อครหาด้านความปลอดภัย และความเป็นส่วนตัว

ความเป็นส่วนตัวใน Android Q สำคัญถึงขั้นที่กูเกิลพูดในช่วง keynote ของวันแรก และเป็น session แรกของงานวันที่สอง ฟีเจอร์ความปลอดภัยที่สำคัญๆ เช่น

Google ปล่อยแพตช์ความปลอดภัยแอนดรอยด์ประจำเดือนพฤษภาคมแล้ว ซึ่งรวมแพตช์รอบวันที่ 1 เอาไว้ด้วย อุดช่องโหว่ทั้งหมด 30 จุด โดยช่องโหว่ระดับวิกฤติที่สุดเกิดในเฟรมเวิร์คมีเดีย ที่เปิดให้รันโค้ดทางไกลด้วยสิทธิระดับสูง ซึ่ง Google ระบุว่ายังไม่พบการโจมตีด้วยช่องโหว่นี้

แพตช์เดือนนี้ออกให้ครบหมดตั้งแต่ Pixel 3 XL ไปจนถึง Pixel รวมถึง Pixel C ที่รัน Android 8.1 ด้วยเหมือนเดิม หากใครยังกดอัพเดตแล้วไม่ได้ สามารถโหลด OTA Image ไปติดตั้งเองได้

ที่มา - Android Security Bulletin

กองทัพอิสราเอลเผยแพร่ภาพอาคารในฉนวนกาซา โดยระบุว่าเป็นที่ทำการกองกำลังไซเบอร์ของกลุ่มฮามาส

ทางอิสราเอลไม่บอกรายละเอียดการโจมตีไซเบอร์ของกลุ่มฮามาส บอกเพียงว่าสามารถป้องกันได้สำเร็จ และหลังจากนั้นก็ส่งกองทัพอากาศไประเบิดอาคารเพื่อไม่ให้กลุ่มฮามาสมีความสามารถด้านไซเบอร์อีก

Dr. Lukasz Olejnik นักวิจัยด้านเทคโนโลยีและความสัมพันธ์ระหว่างประเทศจากมหาวิทยาลัยออกซ์ฟอร์ด ระบุกับ ZDNet ว่าไม่ควรปล่อยให้การตอบโต้การโจมตีไซเบอร์ด้วยการใช้กำลังจริงๆ กลายเป็นเรื่องปกติ

ที่มา - ZDNet, @IDF

ระบบสตรีมมิ่งของเว็บไซต์ Cartoon Network ถูกแฮ็กเมื่อสุดสัปดาห์ที่ผ่านมา และแฮ็กเกอร์ได้เปลี่ยนวิดีโอจากการ์ตูน เป็นวิดีโอตลก มีม และเพลงต่างๆ เป็นเวลานานถึง 3 วัน ก่อนที่ Cartoon Network จะรู้ตัวและนำวิดีโอเหล่านี้ออกจากระบบ

ผลคือผู้ชม Cartoon Network ทางเว็บใน 16 ประเทศ (ส่วนใหญ่อยู่ในยุโรป แอฟริกา ตะวันออกกลาง อเมริกาใต้) ก็ได้รับชมวิดีโอเหล่านี้แทนการ์ตูนอย่างที่คาดหวังว่าจะเป็น

โฆษกของ Cartoon Network บอกว่าระบบเว็บไซต์ถูกเจาะ และแฮ็กเกอร์ชาวบราซิลได้เข้ามาเปลี่ยนซอร์สของวิดีโอในระบบสตรีมมิ่งเป็นอย่างอื่น ส่วนเจตนาก็ชัดเจนว่าไม่ได้ประสงค์ร้ายแต่ต้องการสร้างชื่อเท่านั้น

ทีม Talos ของซิสโก้แจ้งเตือนถึงการโจมตีช่องโหว่ CVE-2019-2725 ของ WebLogic ที่ออราเคิลเพิ่งออกแพตช์ให้เมื่อสัปดาห์ที่ผ่านมา โดยตอนนี้พบว่ามีกลุ่มแฮกเกอร์ใช้ช่องโหว่นี้เข้ารหัสข้อมูลบนเซิร์ฟเวอร์เพื่อเรียกค่าไถ่

ทีมงานพบว่าแฮกเกอร์กลุ่มนี้พยายามสแกนหาเซิร์ฟเวอร์ที่มีช่องโหว่ตั้งแต่วันที่ 25 เมษายนที่ผ่านมา ก่อนการปล่อยแพตช์หนึ่งวัน และหลังจากนั้นก็ส่งคำสั่งให้เครื่องเหยื่อดาวน์โหลดไฟล์ radm.exe มารัน

ตัวมัลแวร์เข้ารหัสพยายามยกเลิก shadow copy ของข้อมูลบนเซิร์ฟเวอร์เพื่อป้องกันการกู้ข้อมูล จากนั้นเข้ารหัสข้อมูล แล้ววางไฟล์แนะนำวิธีติดต่อคนร้ายบนเว็บ Tor โดยตัวอย่างหน้าจอของ Talos นั้นคนร้ายเรียกค่าไถ่ถึง 2,500 ดอลลาร์

ในช่วงนี้รัฐบาลญี่ปุ่นมีนโยบายด้านความมั่นคงทั้งในเชิงรุกและเชิงรับมากขึ้น อย่างกรณีล่าสุดกระทรวงกลาโหมออกมาเปิดเผยว่ามีแผนจะเพิ่มความสามารถในการรับมือภัยคุกคามด้านความมั่นคง ทั้งทางบก, ทางเรือและทางอากาศ ไปจนถึงอวกาศและโลกไซเบอร์ ซึ่งในข้อสุดท้าย กลาโหมรู้ตัวว่ายังคงตามหลังมหาอำนาจเค้าอื่นอยู่มาก

หนึ่งในมาตรการการรับมือการโจมตีทางไซเบอร์ของกระทรวงกลาโหมญี่ปุ่น คือการพัฒนามัลแวร์หรือไวรัสขึ้นมาในฐานะเครื่องมือสำหรับการป้อมปราม โดยกลาโหมยืนยันว่าไวรัสดังกล่าวมีจุดประสงค์สำหรับการป้องกันเท่านั้น จะไม่มีการใช้งานในเชิงรุกหรือนำไปเป็นเครื่องมือในการโจมตีก่อน (pre-emptive attack) อย่างแน่นอน

หลังจากเมื่อวานนี้มีรายงานโทรศัพท์ Huawei P30 Pro ติดต่อเซิร์ฟเวอร์หลายตัว รวมถึงเซิร์ฟเวอร์ในโดเมน gov.cn วันนี้คุณ pe3z ก็เพิ่มเติมรายงานว่าเป็นความผิดพลาดระหว่างทดสอบ โดยโดเมน beian.gov.cn นั้นถูกคิวรีเพราะการเข้า baidu.com ที่คุณ pe3z ใส่ไปเองระหว่างการทดสอบ

โดเมน beian.gov.cn นั้นเป็นหน่วยงานให้ใบอนุญาตบริการเว็บไซต์ในจีน หรือเว็บไซต์ที่ใช้โดเมน .cn

ที่มา - GitHub: pe3zx

ศูนย์มั่นคงไซเบอร์สหราชอาณาจักร (National Cyber Security Centre - NCSC) รายงานผลสำรวจความสนใจต่อความมั่นคงปลอดภัยไซเบอร์กับประชากรสหราชอาณาจักร 1,350 คน พบว่ามีประชากรเพียง 15% ที่สามารถป้องกันตัวจากภัยไซเบอร์ส่วนใหญ่ได้ ขณะที่คนกว่าครึ่งกังวลว่าจะถูกขโมยเงินทางออนไลน์ และ 70% เชื่อว่าจะถูกโจมตีเองรูปแบบใดรูปแบบหนึ่งในสองปีข้างหน้า คน 1 ใน 3 ต้องให้เพื่อนหรือครอบครัวช่วยดูแลความมั่นคงปลอดภัยไซเบอร์ให้

UPDATE: คุณ pe3z ได้เขียนรายงานเพิ่มเติมเกี่ยวกับโดเมน beian.gov.cn ว่าเกิดจากการเข้า baidu.com

คุณ pe3z ได้ตรวจสอบการเชื่อมต่ออินเทอร์เน็ตของโทรศัพท์ Huawei P30 Pro ว่าได้พยายามขอ resolve ชื่อ DNS ของเซิฟเวอร์ในประเทศจีนหลายรายการ และอาจมีการส่งข้อมูลกลับไปยังเซิฟเวอร์ดังกล่าวด้วย ซึ่งในรายการเซิฟเวอร์ที่ถูกติดต่อไปนั้น หนึ่งในนั้นคือ beian.gov.cn ซึ่งเป็นหน่วยงานด้านความปลอดภัยด้านเครือข่ายของประเทศจีน โดยคุณ pe3z ยังไม่ได้ตรวจสอบเกี่ยวกับข้อมูลที่ถูกส่งออกไปว่ามีเนื้อหาอะไรบ้าง

Marcus Hutchins หรือ MalwareTech แฮกเกอร์ผู้หยุดมัลแวร์ WannaCry จากการจดโดเมนเซิร์ฟเวอร์ควบคุม ทำให้มัลแวร์หยุดทำงาน แต่หลังจากเป็นฮีโร่อยู่ครึ่งปีเขาก็ถูกจับฐานสร้างมัลแวร์ โดยช่วงแรกเขาปฎิเสธข้อกล่าวหาทั้งหมด แต่ตอนนี้เขาก็ยอมรับข้อกล่าวหาสองข้อหาจาก 10 ข้อหา โดยอัยการตกลงที่จะถอนข้อหาที่เหลือทั้งหมด

ข้อหาของ Hutchins คือการสร้างมัลแวร์ UPAS และ Kronos สำหรับขโมยข้อมูลธนาคารให้ผู้อื่นใช้งาน โดยเขาขายผ่านตัวแทนที่ใช้ชื่อว่า Vinny นำมัลแวร์ไปขายในตลาดมืด และ FBI ไปล่อซื้อมาในราคา 1,500 ดอลลาร์

Google ประกาศเตรียมเพิ่มกระบวนการป้องกันการโจมตีแบบ man-in-the-middle ในกระบวนการล็อกอินอีกขั้น ด้วยการบล็อกไม่ให้มีการล็อกอินแอคเคาท์ Google ผ่านเบราว์เซอร์แบบฝังอย่าง Chromium Embeded Framework

Google ให้เหตุผลว่าเพราะแยกทราฟฟิคที่มาจากเฟรมเวิร์คเบราว์เซอร์แบบฝังไม่ออกว่าเป็นการล็อกอินจริงหรือ MitM ขณะที่มาตรการนี้จะเริ่มใช้งานในเดือนมิถุนายนนี้ พร้อมแนะนำให้นักพัฒนาเปลี่ยนไปใช้ระบบล็อกอิน OAuth แทน

ที่มา - Google Security Blog

ข่าวฉาวของ Facebook ยังออกมาเรื่อยๆ ตามปกติ เมื่อปลายเดือนมีนาคม บริษัทยอมรับว่าเก็บรหัสผ่านของผู้ใช้ Facebook แบบ plaintext และกระทบผู้ใช้ "หลักร้อยล้านคน" (hundreds of millions) ถึงแม้ไม่มีหลักฐานบ่งชี้ว่ารหัสผ่านเหล่านี้ถูกเข้าถึงได้จากคนภายนอกบริษัท แต่ Facebook ก็แจ้งเตือนให้ผู้ใช้ที่ได้รับผลกระทบให้เปลี่ยนรหัสผ่านแล้ว

ล่าสุดเมื่อวานนี้ Facebook อัพเดตข้อมูลเพิ่มเติมว่า ค้นพบกรณีเดียวกันแต่เป็นรหัสผ่านของ Instagram ที่ถูกเก็บแบบ plaintext อีกชุดหนึ่ง มีผู้ใช้ที่ได้รับผลกระทบ "หลักล้านคน" (millions of Instagram users) และบริษัทก็จะแจ้งเตือนผู้ใช้กลุ่มนี้เช่นกัน

ไมโครซอฟท์ยืนยันว่าบริการอีเมลฟรี Outlook.com (ซึ่งครอบคลุมผู้ใช้อีเมล Hotmail และ MSN ด้วย) ถูกแฮ็กเกอร์เข้าถึงข้อมูลได้ และข้อมูลของลูกค้า "บางส่วน" รั่วไหลออกไป (ไมโครซอฟท์ไม่เปิดเผยตัวเลขที่แน่ชัด)

เหตุการณ์นี้เกิดขึ้นเพราะบัญชีของพนักงานฝ่ายซัพพอร์ตรายหนึ่งถูกแฮ็ก ทำให้แฮ็กเกอร์เข้าถึงระบบของ Outlook.com ได้ (ตัวระบบเองไม่ได้ถูกแฮ็ก) ส่วนข้อมูลที่หลุดออกไปประกอบด้วย ที่อยู่อีเมลของผู้ใช้, ที่อยู่อีเมลที่ติดต่อด้วย, ชื่อโฟลเดอร์ และชื่อเรื่อง (subject) ของอีเมล ส่วนเนื้อหาภายในอีเมลและไฟล์แนบ ถูกแยกเก็บในอีกฐานข้อมูลหนึ่งจึงไม่ได้รับผลกระทบ และรหัสผ่านของผู้ใช้ก็ไม่ได้รับผลกระทบ

กูเกิลประกาศว่า Gmail ได้เป็นผู้ให้บริการอีเมลรายใหญ่รายแรก ที่สนับสนุนมาตรฐานความปลอดภัยใหม่ 2 รายการ คือ SMTP MTA Strict Transport Security (MTA-STS) RFC 8461 และ SMTP TLS Reporting RFC 8460 ซึ่งกูเกิลร่วมกับผู้ให้บริการอีเมลรายใหญ่ ผลักดันมาตรฐานนี้ผ่านองค์กร IETF ตั้งแต่ 3 ปีที่แล้ว

อย่างไรก็ตามแม้ Gmail จะประกาศรองรับมาตรฐานใหม่นี้ก่อน แต่หากโดเมนอีเมลของผู้ให้บริการรายอื่นยังไม่รองรับ อีเมลที่ส่งออกไปก็ไม่มีการเข้ารหัสบนมาตรฐานใหม่นี้อยู่ดี กูเกิลจึงหวังว่าผู้ให้บริการอื่นจะรองรับมาตรฐานความปลอดภัยนี้เช่นกัน

ทั้งนี้การร่วมผลักดันมาตรฐานดังกล่าวตั้งแต่ 3 ปีก่อน นอกจากกูเกิล ก็มี ไมโครซอฟท์ และยาฮู ร่วมด้วย

นอกจาก Titan Security Key ที่เป็นฮาร์ดแวร์ยืนยันตัวตน 2 ขั้นของ Google แล้ว ล่าสุดบริษัทประกาศให้สามารถใช้สมาร์ทโฟนแอนดรอยด์ เป็นฮาร์ดแวร์โทเคนสำหรับยืนยันตัวตนอีกชั้นหนึ่งสำหรับล็อกอินแอคเคาท์ Google ได้แล้ว หลังแอนดรอยด์ผ่านการรับรอง FIDO2 เมื่อต้นปี

สมาร์ทโฟนที่รองรับเฉพาะแอนดรอยด์ 7.0 ขึ้นไปเท่านั้น รวมถึงสามารถใช้งานได้เฉพาะกับ Chrome เท่านั้นและต้องเปิดบลูทูธเอาไว้ด้วย โดยหากสนใจสามารถเพิ่มสมาร์ทโฟนของตัวเองให้เป็น Security Key ได้ในหน้า 2-step Verification (ต้องเปิดตัวเลือกนี้ด้วย) ในหมวด Security ของแอคเคาท์ Google

ผู้ใช้งานรายหนึ่งชื่อ Darkshark โพสต์คลิปทดลองการใช้ลายนิ้วมือที่ปรินท์ออกจากเครื่องพิมพ์สามมิติสแกนเข้าเครื่อง Samsung Galaxy S10 ปรากฏว่าทำได้

เริ่มจากถ่ายรูปลายนิ้วมือตัวเองบนแก้วไวน์ เอาไปเข้าโปรแกรม Photoshop เพื่อเพิ่มคอนทราสต์ และโปรแกรม 3ds Max เพื่อทำให้ลายเส้นนิ้วมือมันเป็นสามมิติ และปรินท์มันออกมา จากนั้นก็เอาไปแตะที่หน้าจอและใช้นิ้วที่สวมถุงมือยางกดลงไป ก็สามารถสแกนเข้าไปได้ แต่ Darkshark บอกว่ามันไม่สำเร็จในครั้งแรก แต่มาสำเร็จในครั้งที่สาม และใช้เวลาปรินท์ลายนิ้วมือ 13 นาที

ช่องโหว่ Heartbleed ครบรอบ 5 ปีที่มีการรายงานต่อสาธารณะในวันนี้ Colm MacCárthaigh วิศวกรด้านเน็ตเวิร์คและความมั่นคงปลอดภัยไซเบอร์ของ AWS ก็ออกมาทวีตถึงประสบการณ์ในวันนั้น

Heartbleed เป็นช่องโหว่ที่แฮกเกอร์สามารถอ่านหน่วยความจำในเซิร์ฟเวอร์ได้ ความพิเศษของมันคือการโจมตีทำได้ง่ายอย่างยิ่ง ทำให้คาดได้ว่าหลังจากช่องโหว่เปิดเผยต่อสาธารณะแล้ว จะมีการโจมตีภายในเวลาอันสั้น เทียบกับช่องโหว่อื่นที่แม้จะร้ายแรง เช่น สามารถรันโค้ดบนเครื่องเหยื่อได้ แต่การโจมตีมักมีความซับซ้อน ทำให้เกิดการโจมตีจริงหลังรายงานออกมาแล้วระยะหนึ่ง

Slava Makkaveev นักวิจัยด้านความปลอดภัยจาก Check Point Research รายงานการค้นพบช่องโหว่ในแอป Guard Provider ซึ่งเป็นแอปแอนตี้ไวรัสที่ถูกติดตั้งมาตั้งแต่โรงงานในเครื่อง Xiaomi ที่ใช้รอม MIUI ทุกเครื่อง ซึ่งช่องโหว่นี้เปิดช่องให้แฮกเกอร์โจมตีและฝังมัลแวร์หรือแรนซัมแวร์ในเครื่องเหยื่อได้

การทำงานของ Guard Provider จะอาศัย SDK จากผู้ให้บริการแอนตี้ไวรัส 3 เจ้าคือ Avast, AVL และ Tencent ให้ผู้ใช้เลือกเอนจินที่จะสแกน ซึ่งการที่ Guard Provider มี 3 SDK ในตัวเดียวนี้เองก็เป็นปัญหาในตัวแต่แรกด้วย เพราะหาก SDK มีช่องโหว่จะกระทบหมดและการเข้าถึงสตอเรจของแต่ละ SDK ก็ไม่ถูกแยกออกจากกันด้วย

ผู้สมัครเฟซบุ๊กใหม่บางส่วนพบว่าเว็บเฟซบุ๊กขอ "รหัสผ่านอีเมล" เพื่อยืนยันตัวตน โดยระบุว่าใช้กับผู้ใช้กลุ่มเล็กๆ ที่ไม่รองรับการยืนยันความเป็นเจ้าของบัญชีอีเมลด้วยวิธีการอื่น เช่น OAuth

ไม่มีข้อมูลยืนยันว่าผู้ใช้กลุ่มเล็กๆ ของเฟซบุ๊กนั้นกำหนดอย่างไร โดยผู้ใช้ทวิตเตอร์ @originalesushi ระบุว่าเขาทดสอบลงทะเบียน 3 ครั้งพบหน้าขออีเมล 2 ครั้ง ขณะที่ The Daily Beast ทดสอบลงทะเบียนโดย VPN ไปยังโรมาเนียก็พบหน้าจอแบบเดียวกัน

กูเกิลออกแพตช์ความปลอดภัยรอบเดือนเมษายน 2019 ให้กับสมาร์ทโฟนตระกูล Pixel 1/2/3

นอกจากการอัพเดตแพตช์ความปลอดภัยตามรอบเดือนปกติ แพตช์ตัวนี้ยังแก้บั๊กหลายอย่างของ Pixel 3/3 XL เช่น แก้บั๊กหน้าจอสว่างเกินไปตอน ambient display ตื่น, ปรับปรุงประสิทธิภาพของ Voice Unlock และ Wi-Fi ในกรณีที่ใช้ eSIM กับบางเครือข่าย

ส่วน Pixel รุ่นแรกก็ได้ปรับปรุงประสิทธิภาพเรื่องการเชื่อมต่อ Bluetooth ด้วย

ช่วงหลังซัมซุงดูจะซัพพอร์ตมือถือเรือธงรุ่นเก่าๆ ยาวนานเป็นพิเศษ ก่อนหน้านี้คือ Galaxy S6 ที่อายุครบ 4 ปีแต่ก็ยังได้แพตช์ความปลอดภัยต่อ ส่วนกรณีล่าสุดคือ Galaxy S7 ที่อายุครบ 3 ปี ก็ยังได้แพตช์ต่อเช่นกัน แค่เปลี่ยนจากแพตช์รายเดือนมาเป็นแพตช์รายไตรมาส

ปกติแล้วซัมซุงจะออกแพตช์รายเดือนให้มือถือกลุ่มเรือธง (ปัจจุบันคือ Galaxy S8/S9/S10, Note 8/9) และออกแพตช์รายไตรมาสให้กับมือถือกลุ่มรองๆ ลงมา

กรณีของ Galaxy S7, S7 Edge ที่มีอายุครบ 3 ปี (ออกปี 2016) ยังไม่ถูกลอยแพ แต่ลดชั้นลงมาจากกลุ่มรายเดือนเป็นกลุ่มรายไตรมาสนั่นเอง

ซัมซุงยังซัพพอร์ตมือถือบางตัวที่ออกในปี 2016 เช่น Galaxy A5 (2016) ในกลุ่มแพตช์รายไตรมาสด้วยเช่นกัน

Dr.WEB ผู้ให้บริการแอนตี้ไวรัสรายงานเมื่อสัปดาห์ที่แล้ว ถึงความเสี่ยงจากการใช้งาน UC Browser และ UC Browser Mini เบราว์เซอร์ของ UC Web ในเครือ Alibaba บนแอนดรอยด์ เนื่องจากเปิดโอกาสในการถูกโจมตีแบบ man-in-the-middle (MITM) เสีี่ยงถูกรันโค้ดไม่ประสงค์ดีได้

Dr.WEB ระบุว่า UC Browser มีฟีเจอร์ลับที่แอบดาวน์โหลดโมดูลและไลบรารีใหม่มาจากเซิร์ฟเวอร์ C&C ของ UCWeb โดยการติดต่อและดาวน์โหลดไฟล์ระหว่างเบราว์เซอร์และเซิร์ฟเวอร์ทั้งหมดทำผ่าน HTTP รวมถึงตัวเบราเซอร์ไม่มีการตรวจสอบใบรับรองของไฟล์ด้วย เสี่ยงทำให้แฮกเกอร์สามารถโจมตีแบบ man-in-the-middle และเบราว์เซอร์อาจดาวน์โหลดและเปิดไฟล์ไม่ประสงค์ดีแทนก็ได้

แต่เดิมนั้น ผู้ใช้ Google จะล็อกอินเข้าบัญชีด้วยกุญแจความปลอดภัยจะต้องใช้ Chrome เท่านั้น แต่ล่าสุด Google ได้ประกาศว่าตอนนี้ ผู้ใช้กุญแจความปลอดภัยสามารถล็อกอินผ่าน Firefox และ Edge ได้แล้ว

Google ระบุว่าก่อนหน้านี้หน้าล็อกอินใช้ระบบ U2F กับการล็อกอินด้วยกุญแจความปลอดภัย แต่ตอนนี้ได้เปลี่ยนไปใช้ Web Authentication หรือ WebAuthn ที่ W3C เพิ่งรับเข้าเป็นมาตรฐานเว็บ จึงทำให้ Firefox และ Edge สามารถล็อกอินได้ด้วยเช่นกัน

ทั้งนี้ Google ยังรองรับเฉพาะระบบล็อกอินเท่านั้น แต่การลงทะเบียนกุญแจความปลอดภัยยังคงต้องใช้ Chrome เช่นเดิม (คือต้องลงทะเบียนผ่าน Chrome แต่จะใช้บน Chrome, Edge หรือ Firefox ก็ได้)