Tags:
BitDefender

BitDefender บริษัทที่ทำธุรกิจด้านความปลอดภัย เผยแพร่บทความในบล็อกของตัวเองที่มีชื่อว่า Hot for Security โดยระบุว่าอุปกรณ์สาย Wearable Computing สามารถที่จะดักฟังข้อมูลได้ง่ายกว่าที่หลายคนคิดเอาไว้มาก

ในการทดลองของทางบริษัท นักวิจัยใช้ Nexus 4 ที่ลง Android L Preview และ LG G Watch (ดูในคลิปวิดีโอท้ายข่าว) เพื่อที่จะทดลองความเป็นไปได้ (proof of concept) ว่าทำได้จริง ซึ่งผลก็คือสามารถดักฟังข้อมูลที่ส่งจากโทรศัพท์ไปยัง LG G Watch ได้ โดยนักวิจัยอธิบายว่า เนื่องจากการเข้ารหัสในการส่งข้อมูลของ Bluetooth อาศัยตัวเลขเพียงหกหลักเท่านั้น ซึ่งถ้าใช้วิธีการโจมตีแบบ brute force ในเวลาไม่นาน ก็จะสามารถอ่านข้อมูลต่างๆ ได้ทันที

ทั้งนี้ นักวิจัยยังระบุเพิ่มเติมด้วยว่า แม้จะเข้ารหัสด้วยการใช้ baseband co-processor แต่ก็สามารถที่จะถูกแฮคแล้วปิดการเข้ารหัสได้ หากมีผู้ไม่ประสงค์ดีปล่อยอัพเดตเข้าอุปกรณ์เหล่านี้โดยตรง (OTA) และยังระบุเพิ่มว่า แม้ผู้ไม่หวังดีต้องอยู่ในที่ซึ่งใกล้กับผู้ใช้ แต่ถ้าจำนวนอุปกรณ์เหล่านี้มีเยอะมากพอ ก็สามารถที่จะทำได้ในขนาดที่ใหญ่มากได้เช่นกัน ทั้งหมดขึ้นอยู่กับเวลาว่ามีใครคิดจะทำหรือไม่

ที่มา - Hot for Security

Tags:

ฟีเจอร์ใหม่ด้านความปลอดภัยของ Android 5.0 Lollipop คือ Smart Lock ปลดล็อคเครื่องมือถือด้วยอุปกรณ์อื่นๆ (เช่น อุปกรณ์ Bluetooth) ซึ่งภายหลังกูเกิลก็ขยายฟีเจอร์นี้ให้สามารถปลดล็อค Chrome OS ได้ในลักษณะเดียวกัน (ด้วยสมาร์ทโฟน Android)

กูเกิลโชว์การปลดล็อค Chrome OS ที่งาน Google I/O เมื่อกลางปีแล้วเงียบหายไปเลย ล่าสุดโค้ดส่วนนี้เริ่มโผล่เข้ามาใน Chrome OS Dev Channel แล้ว โดยผู้ใช้ต้องเปิดใช้งานในหน้า chrome:///flags ก่อนด้วย (ในหน้าอธิบายฟีเจอร์ของ Chrome OS ก็ยังเรียกมันว่า Smart Lock Beta)

เว็บไซต์ Computerworld ลองทดสอบฟีเจอร์นี้ด้วย Nexus 6 แล้วพบว่าทำงานได้จริง โดย Chrome OS จะแสดงภาพบัญชีของผู้ใช้ในหน้าล็อคสกรีน พร้อมข้อความว่าคลิกเพื่อเข้าใช้งาน โดยไม่ต้องป้อนรหัสผ่านแต่อย่างใด

เอกสารของกูเกิลระบุว่าอุปกรณ์ Chrome OS และสมาร์ทโฟนจะต้องอยู่ห่างกันไม่เกิน 100 ฟุต และตัวสมาร์ทโฟนต้องปลดล็อคก่อน (เพื่อยืนยันตัวตนผู้ใช้) ฟีเจอร์ Smart Lock ถึงจะปลดล็อค Chrome OS ตามให้

ที่มา - Computerworld

Tags:
Internet Explorer

จากกรณี POODLE ช่องโหว่ร้ายแรงใน SSL 3.0 เบราว์เซอร์หลายยี่ห้อเริ่มอัพเดตปิดการใช้งาน SSL 3.0 กันบ้างแล้ว ความเคลื่อนไหวล่าสุดมาจากทีม IE ครับ

ไมโครซอฟท์เคยประกาศว่าจะปิด SSL 3.0 บน IE ในเดือนกุมภาพันธ์ 2015 แต่ระหว่างนี้ไมโครซอฟท์ออกแพตช์แก้ IE11 ให้สามารถเลือกปิดการทำงานของโหมด SSL 3.0 fallback (กลับไปใช้ SSL 3.0 อัตโนมัติ หากเว็บไซต์ไม่มีการเชื่อมต่อที่ใหม่กว่าอย่าง TLS) ได้เองก่อน

แพตช์ตัวนี้หมายเลข KB3008923 ออกแล้ว (ชื่อเต็มคือ December 2014 Internet Explorer Cumulative Update) หน่วยงานไหนที่ใช้ IE กับเว็บไซต์ในองค์กรที่อาจมีปัญหา SSL เก่าเกินไปก็สามารถอัพเดตแพตช์เพื่อไปทดสอบกันได้เลย

ที่มา - IE Blog

Tags:
Synaptics

หลังจากที่ทาง FIDO เพิ่งออกมาตรฐานรุ่น 1.0 มา ทาง Synaptics ที่เป็นหนึ่งในสมาชิกระดับบอร์ดก็ได้ออกอุปกรณ์มารองรับทันทีในชื่อ SecurePad

SecurePad เป็นทัชแพดที่ได้เพิ่มตัวสแกนลายนิ้วมือสำหรับใช้งาน Universal Authentication Framework (UAF) ตามมาตรฐานของ FIDO โดยเพื่อความปลอดภัยแล้วตัวสแกนลายนิ้วมือนั้นจะเข้ารหัสข้อมูลทั้งหมดระหว่างตัวสแกนลายนิ้วมือกับหน่วยประมวลผลของโฮสต์ รองรับการสแกนจากการวางนิ้วในทุกมุม และใช้เอนจินตรวจสอบความเข้ากันได้ระดับสูงเพื่อความปลอดภัยชั้นดี

ส่วนสเปคที่ทาง Synaptics ปล่อยออกมามีดังนี้

Tags:
FIDO

FIDO Alliance เป็นกลุ่มของบริษัทไอทีหลายราย (เช่น กูเกิล ไมโครซอฟท์ เลอโนโว ซัมซุง) ที่รวมตัวกันเพื่อสร้างมาตรฐานการล็อกอินที่ไม่ใช้รหัสผ่าน (passwordless authentication)

หลังจากร่างมาตรฐานและเปิดรับความเห็นกันอยู่พักใหญ่ วันนี้ FIDO ออกเอกสารสเปกเวอร์ชัน 1.0 มาแล้ว โดยเอกสารถูกแบ่งเป็น 2 ส่วนสำคัญคือ

  • FIDO Alliance Universal Authentication Framework (UAF) สำหรับการยืนยันตัวตนด้วยวิธีการต่างๆ เช่น ลายนิ้วมือ, PIN
  • FIDO Alliance Universal 2nd Factor (U2F) สำหรับการยืนยันตัวตนแบบมีปัจจัยที่สองเข้าช่วย
Tags:
SSL

ช่องโหว่ POODLE ที่ได้รับการเปิดเผยเมื่อเดือนตุลาคมที่ผ่านมา ดูเหมือนจะกระทบการใช้งานมากกว่าที่คิดครับ จากที่ก่อนหน้านี้พบว่าช่องโหว่ดังกล่าวกระทบเพียง SSL 3.0 เท่านั้น แต่ล่าสุดมีนักวิจัยด้านความปลอดภัยพบโอกาสที่จะเกิดช่องโหว่เดียวกันนี้บน TLS 1.0 แล้วครับ

คร่าวๆ ก็คือ ในโปรโตคอลของ TLS 1.0 มีกระบวนการทำ padding (เติมข้อมูลให้ครบ block) ในกระบวนการเข้ารหัสแบบ CBC ที่ถูกปรับปรุงเพิ่มเติมมาจาก SSL 3.0 โดยการระบุวิธีการเติมลงไปให้ชัดเจนมากขึ้น ซึ่งทำให้ TLS 1.0 กลายเป็นเซ็ตย่อยของ SSL 3.0 ทำให้ไลบรารีที่ทำงานกับ SSL 3.0 ได้ก็จะสามารถใช้กับ TLS 1.0 ได้ด้วย (ในส่วนใหญ่) ซึ่งหากไลบรารีดังกล่าวไม่มีการตรวจสอบที่เข้มงวดมากขึ้นตามโปรโตอล TLS 1.0 จะทำให้แฮกเกอร์สามารถใช้ช่องโหว่ POODLE โจมตีเข้ามายัง TLS 1.0 ได้ด้วยครับ

เบื้องต้นพบอุปกรณ์ที่ได้รับผลกระทบเพิ่มเติมจากช่องโหว่ดังกล่าวเพียงบางรุ่นและบางยี่ห้อ (ตามที่มา) หากองค์กรใดมีการใช้ SSL Terminator ที่เป็น Hardware ควรตรวจสอบกับทางผู้ขายอีกครั้งว่ามีช่องโหว่หรือไม่ อย่างไรก็ตามช่องโหว่เพิ่มเติมนี้ไม่พบในไลบรารี OpenSSL ซึ่งใช้กันในลินุกซ์และอีกหลายๆ ผลิตภัณฑ์ครับ

ที่มา: Imperial Violet

Tags:

Bruce Schneier นักวิจัยด้านความปลอดภัยออกมาเรียกร้องให้บริษัทความปลอดภัยปล่อยข้อมูลของมัลแวร์ให้เร็วกว่าเดิม หลังจากพบว่าบริษัทเหล่านี้ถือข้อมูลมัลแวร์สำคัญที่อาจจะเกี่ยวข้องกับรัฐบาลไว้นานนับปี

กรณีที่เกิดขึ้นคือมัลแวร์ Regin ที่เพิ่งมีรายงานกันช่วงเดือนที่แล้ว แต่ปรากฎว่าบริษัทความปลอดภัยทั้งหมดมีตัวอย่างมัลแวร์มาตั้งแต่ปี 2008 หรือ 2009 บริการอย่าง VirusTotal ก็มีข้อมูลของมัลแวร์ตัวนี้อยู่เงียบๆ ตั้งแต่ปี 2011 ส่วน Microsoft security และ F-Secure ก็ป้องกันมัลแวร์ตัวนี้ได้ตั้งแต่ 2011 เช่นกัน แต่ไม่มีใครเผยแพร่รายละเอียดออกมา

F-Secure ระบุว่าลูกค้าบางรายขอให้บริษัทรักษาความลับของมัลแวร์ที่พบในเครือข่ายของบริษัท Fox IT ที่เข้าไปช่วยล้างมัลแวร์ออกจากระบบคอมพิวเตอร์ของ Belgacom บริษัทสื่อสารในเบลเยียมระบุว่าไม่อยากเข้าไปยุ่งกับปฎิบัติการของ NSA และ GCHQ ทำให้เลือกที่จะไม่เผยแพร่ข้อมูลออกมา

Schneier ระบุว่าเหตุผลหนึ่งที่บริษัทความปลอดภัยไม่เผยแพร่ข้อมูลเหล่านี้เพราะไม่สามารถวิเคราะห์ตัวมัลแวร์ได้อย่างครบถ้วน มัลแวร์ระดับสูงเช่นนี้มักมีพัฒนาการต่อเนื่อง มีโมดูลเปลี่ยนความสามารถตัวเองได้หลากหลาย แต่มัลแวร์ที่น่าจะเกี่ยวข้องกับรัฐเช่นนี้จะมีมากขึ้นเรื่อยๆ และการอ้างว่ายังมีข้อมูลไม่ครบถ้วนเป็นข้ออ้างที่ไม่ดีพอ

ที่มา - Schneier on Security

Tags:
Sony Pictures

สำนักข่าว Bloomberg อ้างแหล่งข่าวที่เกี่ยวข้องกับการสืบสวนระบุว่าข้อมูลจำนวนมากของ Sony Pictures ที่หลุดออกมานั้นมีจุดเริ่มต้นมาจากโรงแรม St. Regis ในประเทศไทย แต่ยังไม่สามารถระบุได้ว่าเครือข่ายของโรงแรมถูกแฮก, แฮกเกอร์เป็นแขกของโรงแรมจริงๆ, หรือแฮกเกอร์เพียงแต่มาใช้เครือข่ายเท่านั้น

ตัวมัลแวร์มีรายงานว่าดัดแปลงมาเป็นตระกูลของมัลแวร์เริ่มต้นปี 2009 โดยตอนนั้นมัลแวร์ตัวนี้ใช้ยิง DoS ไปยังเกาหลีใต้และกองทัพสหรัฐฯ

มัลแวร์ส่วนหนึ่งเป็นไฟล์ที่มีค่าแฮชเป็น eff542ac8e37db48821cb4e5a7d95c044fff27557763de3a891b40ebeb52cc55 ถูกตั้งให้รายงานกลับเซิร์ฟเวอร์ไอพี 203.131.222.102 ของมหาวิทยาลัยธรรมศาสตร์

ที่มา - Bloomberg

Tags:

กระบวนการยืนยันตัวตน (Authentication) เป็นปัญหาสำคัญในโครงสร้างความปลอดภัยคอมพิวเตอร์มาตั้งแต่เริ่มต้นยุคแรกๆ จนถึงทุกวันนี้ที่ปัญหาการขโมยตัวตนผู้ใช้ออนไลน์ยังเป็นปัญหาอยู่เรื่อยมา การยืนยันตัวตนที่ใช้งานเป็นวงกว้างทุกวันนี้คงเป็นรหัสผ่านที่มีคุณสมบัติการยืนยันตัวตนที่ดีพอสมควร เช่น เป็นความลับส่วนตัวกับเจ้าของตัวตน, และสามารถยกเลิกได้เมื่อความลับรั่วไหล แต่อย่างไรก็ตาม เราพบว่าผู้ใช้จำนวนมากมีแนวโน้มจะใช้รหัสผ่านอย่างไม่ปลอดภัย เช่น การใช้รหัสผ่านที่ง่ายต่อการคาดเดาจนเกินไป รวมถึงการใช้รหัสผ่านร่วมกันกับบริการอื่นๆ ทำให้รหัสผ่านตกอยู่ในความเสี่ยงเมื่อบริการใดบริการหนึ่งถูกเจาะจนข้อมูลรั่วไหล แฮกเกอร์มีแนวโน้มจะนำรหัสผ่านเหล่านั้นไปใช้งานกับบริการอื่นๆ ในทันที

กระบวนการยืนยันตัวตนแบบสองขั้นตอนออกแบบมาเพื่อเสริมความแข็งแกร่งของกระบวนการยืนยันตัวตนจากเดิมที่อาศัย "ความรู้" (รหัสผ่าน) ของผู้ใช้อย่างเดียว เพิ่มเติมว่าผู้ใช้ "มีอะไร" เพื่อยืนยันตัวตน โดยขั้นตอนที่สองที่เว็บต่างๆ ให้ความนิยมกันมากทุกวันนี้คือการนำข้อความยืนยันว่าผู้ใช้มีโทเค็นยืนยันตัวตน เช่น โทรศัพท์ อยู่กับตัว

Tags:

เมื่อเวลาประมาณ 16.00 น.ขณะที่ผมเข้าเว็บไซต์ขององค์การขนส่งมวลชนกรุงเทพ (ขสมก.) เพื่อดูรายละเอียดเส้นทางรถเมล์บริเวณที่จะไปทำธุระส่วนตัวในกรุงเทพมหานครนั้น ก็พบว่า หน้าแรกของเว็บไซต์ ดังกล่าว และลิงก์ภายในเว็บไซต์ของเวอร์ชันใหม่รวมถึง ลิงก์ที่ดูรายละเอียดของสายรถประจำทาง ด้วย ถูกแฮกจากกลุ่ม Arab Security Team ให้ redirect ไปยังเว็บเพจที่มีโลโก้ของกลุ่มผู้กระทำการแฮก และระบุข้อความว่า "Hacked By Arab Security Team" (ตามภาพแรก)

อย่างไรก็ตาม หน้าหลักของเว็บไซต์เข้าใช้งานได้ (ตามภาพที่สอง) ผมจึงลองเข้า เว็บไซต์เดิม ขสมก. เพื่อใช้บริการ ดูรายละเอียดของสายรถประจำทาง ปรากฏว่ายังใช้งานได้อยู่ (ตามภาพที่สาม) จึงใช้เป็นข้อมูลประกอบการเพื่อให้ขึ้นรถเมล์ให้ตรงสาย ร่วมกับ เว็บไซต์ Props&Ops เว็บไซต์คอสเพลย์ ซึ่งแสดงเส้นทางการเดินรถในแผนที่ Google Maps และใช้ข้อมูลป้ายรถประจำทางใน Google Maps ประกอบกัน ท่านใดมีเครื่องมือดูรายละเอียดของสายรถประจำทาง ช่วยแนะนำด้วยนะครับ

Tags:
ESET

Facebook ประกาศความร่วมมือกับบริษัทความปลอดภัย ESET (เจ้าของแอนตี้ไวรัส NOD32 ที่คนไทยน่าจะคุ้นเคยกันดี) เพื่อตรวจสอบมัลแวร์ในระบบของ Facebook

ถ้าหากผู้ใช้ติดมัลแวร์อยู่ก่อนและระบบของ Facebook ตรวจเจอ ก็จะแสดงข้อความเตือนให้สแกนมัลแวร์ ซึ่งกดแล้ว ESET จะทำงานเบื้องหลังเพื่อสแกนและตรวจจับมัลแวร์ในเครื่อง โดยไม่ต้องออกจาก Facebook เลย

Facebook เคยประกาศความร่วมมือแบบเดียวกันกับ F-Secure และ Trend Micro มาก่อนแล้ว โดยบริษัทบอกว่าระบบความปลอดภัยของทั้ง 3 ค่ายจะช่วยกันตรวจหามัลแวร์ทั้งใน News Feed และ Messages เพื่อป้องกันผู้ใช้งานให้มากที่สุด

ที่มา - Facebook Security

Tags:

Intel Security หน่วยธุรกิจซอฟต์แวร์ด้านความปลอดภัยของอินเทล (หรือ McAfee เดิม) ประกาศเข้าซื้อบริษัท PasswordBox ผู้สร้างแอพจัดการรหัสผ่านบนพีซีและอุปกรณ์พกพา (แบบเดียวกับ LastPass หรือ 1Password)

แอพ PasswordBox จะยังให้บริการต่อตามปกติ และอินเทลก็ใจป้ำแจกของขวัญแรกพบ โดยแจกฟีเจอร์พรีเมียมของ PasswordBox ฟรีทั้งหมด ส่วนทีมงาน PasswordBox จะเข้าร่วมทำงานกับฝ่าย Safe Identity ของอินเทลต่อไป

อินเทลระบุเหตุผลของการซื้อกิจการครั้งนี้ว่าต้องการพัฒนาระบบตัวตนดิจิทัล (digital identity) ให้ก้าวหน้ากว่าเดิม และเทคโนโลยีของ PasswordBox ช่วยลดภาระการดูแลรหัสผ่าน (password fatigue) ได้ทั้งบนพีซีและอุปกรณ์พกพา

ที่มา - Intel, PasswordBox

Tags:
IETF

เอกสาร draft-ietf-tls-prohibiting-rc4-01 ที่เสนอโดยไมโครซอฟท์กำลังเข้าสู่กระบวนการสุดท้ายก่อนออกเป็นมาตรฐาน เพื่อยกเลิกการใช้กระบวนการเข้ารหัสแบบ RC4 ในการเชื่อมต่อแบบ TLS ทุกรูปแบบ

มาตรฐานนี้ระบุว่าไคลเอนต์ทุกตัวจะต้องไม่รองรับการเข้ารหัสแบบ RC4 ในเมสเสจ ClientHello อีกต่อไป ขณะที่เซิร์ฟเวอร์ก็จะไม่เสนอ RC4 ให้ไคลเอนต์เลือก ที่สำคัญคือหากไคลเอนต์ระบุว่าเชื่อมต่อได้เฉพาะการเข้ารหัสแบบ RC4 เซิร์ฟเวอร์จะต้องยกเลิกการเชื่อมต่อทันที

RC4 หรือ ARC4 เป็นการเข้ารหัสแบบต่อเนื่อง (stream cipher) ที่ออกแบบโดย Ron Rivest ขณะทำงานในบริษัท RSA Security มาตั้งแต่ปี 1987 มันมีจุดเด่นที่ทำงานได้รวดเร็วแม้ซีพียูจะไม่ได้ปรับแต่งอะไรมาเลยก็ตาม แต่งานวิจัยในช่วงหลังๆ ทำให้ RC4 อ่อนแอลงกว่าที่ออกแบบไว้ (มีกุญแจ 128 บิต) เป็นอย่างมาก โดยทุกวันนี้ความแข็งแกร่งของ RC4 อยู่ที่ 2^26 เท่านั้น

ที่มา - The Register

Tags:
Xperia

หลังจากที่เป็นข่าวว่าโซนี่ถูกแฮกเกอร์ชิงแอพ Backup & Restore กลาง Google Play Store ไปก่อนหน้านี้จนผู้ใช้บางกลุ่มออกมาแสดงความเป็นกังวลเกี่ยวกับความเป็นส่วนตัวของข้อมูล ทางโซนี่จึงทำการสืบสวนถึงสาเหตุและได้ออกมาให้ข้อมูลถึงสิ่งที่เกิดขึ้น โดยทางโซนี่ระบุว่ามีนักพัฒนาได้สร้างแอพขึ้นมาโดยใช้ชื่อและการระบุตัวตนของแอพเดียวกันกับแอพ "Backup & Restore" ของทางโซนี่ และอัพโหลดแอพดังกล่าวขึ้นสู่ Google Play

ด้วยความที่แอพใช้ชื่อและการระบุตัวตนเดียวกันกับแอพของทางโซนี่ที่ติดตั้งอยู่แล้ว ทำให้ระบบเข้าใจผิดและจัดแอพนี้ไว้ในหมวด My Apps รวมถึงระบุว่าแอพนี้ถูกติดตั้งแล้ว แต่ในความเป็นจริงคือทางโซนี่ไม่ได้นำ Backup & Restore ไปไว้บน Google Play โดยที่จัดการการอัพเดตโดยตรงผ่านทาง Update Centre ของโซนี่เอง

มีผู้ใช้ได้ออกมาแสดงความเห็นว่าเรื่องนี้จะไม่เกิดขึ้นหากโซนี่จัดการแอพนี้ผ่าน Google Play เนื่องจากจะทำให้ไม่สามารถสวมรอยด้วยวิธีนี้ได้ เพราะทาง Google Play จะไม่ยอมรับแอพที่ชื่อเหมือนกันหรือใช้การระบุตัวตนซ้ำกัน

ที่มา - Sony Support Forum

SSL

ในรอบปีที่ผ่านมาเราพบกับปัญหาความปลอดภัย และช่องโหว่ของระบบเข้ารหัสแบบ SSL จำนวนมาก อีกทั้งยังทั่วถึงกันแทบจะทุกระบบปฏิบัติการที่มีใช้งานกันอยู่ (Windows, iOS+OSX, SSLv3 ทุก OS, Heartbleed ใน OpenSSL) ทั้งที่ส่งผลโดยตรงต่อผู้ใช้ และส่งผลโดยตรงต่อผู้ดูแลระบบ ไม่นับปัญหาที่ “อาจ” มีผลกระทบต่อผู้ใช้งานจำนวนมาก และเมื่อการทำธุรกรรมทางการเงินผ่านอินเทอร์เน็ตได้รับความนิยมมากขึ้นเรื่อยๆ เราจึงควรทราบข้อมูลทางด้านความปลอดภัยของเว็บไซต์ระบบธนาคารออนไลน์ต่างๆ ที่เปิดให้ใช้งานอยู่ในประเทศไทยไว้บ้างครับ

อนึ่ง บทความนี้เขียนขึ้นโดยนักศึกษาฝึกงาน จากคณะวิศวกรรมศาสตร์ สาขาวิศวกรรมคอมพิวเตอร์ มหาวิทยาลัยขอนแก่น ประจำบริษัท INOX ดังรายชื่อด้านล่างนี้ โดยการควบคุมและตรวจสอบโดยผมเองครับ

  • นายวรวรรต พงษ์ศิริ
  • นายณราชัย กิตติสิทโธ
Tags:
Uber

Uber ยังคงมีปัญหาเรื่องข้อมูลส่วนตัวของผู้ใช้อย่างต่อเนื่อง หลังจากเพิ่งมีผู้บริหารหลุดมาว่า "ติดตามใครก็ได้ที่ใช้บริการ" ไม่กี่วัน ก็โดนซ้ำจากนักวิจัยด้านความปลอดภัยว่าแอพ Uber นั้นเก็บข้อมูลจากผู้ใช้จำนวนมาก

Joe Giron นักวิจัยด้านความปลอดภัยจากรัฐแอริโซนาได้นำแอพ Uber บนแอนดรอยด์มาแยกส่วน และพบว่ามีรายการเรียกข้อมูลจากตัวเครื่องจำนวนมากที่ดูแล้วน่าจะไม่เกี่ยวกับการให้บริการ ตั้งแต่การเข้าถึงโทรศัพท์ ประวัติการโทร และส่งข้อความ ประวัติการใช้ Wi-Fi รวมถึง Device ID ที่มักถูกใช้ในการโฆษณาแบบระบุตัวตน หรือแม้แต่กล้องก็ด้วย

หลังจาก Giron ติดต่อไปยัง Uber ก็ได้คำตอบกลับมาว่า การอนุญาตให้ Uber เข้าถึงเครือข่าย Wi-Fi และกล้องนั้น เพื่อให้แอพสามารถทำงานได้อย่างเต็มประสิทธิภาพ และให้ประสบการณ์ที่ดีกับผู้ใช้ ซึ่งการใช้กล้องนั้น Uber บอกว่าสำหรับใช้ถ่ายบัตรเครดิตเพื่อเพิ่มช่องทางจ่ายเงินเข้าไปในระบบได้ง่ายขึ้น แต่นักวิจัยบอกว่าน่าจะอนุญาตให้ใช้แบบครั้งเดียว และปิดการเข้าถึงไปเลยจะดีกว่า

หลังจากได้คำตอบมาบางส่วนแล้ว Giron มีแผนจะทำวิจัยต่อไปเพื่อดูว่า Uber เก็บข้อมูลแล้วนำไปใช้อย่างไรต่อไป

ที่มา - Re/code

Tags:
Siemens

วันนี้บริษัท Siemens ปล่อยแพตช์อุดช่องโหว่ซอฟต์แวร์ WinCC ที่ใช้ควบคุมและมอนิเตอร์ระบบ SCADA โดยอุดรูรั่วไปสองบั๊ก มีความร้ายแรงสูงทั้งคู่

ช่องโหว่ CVE-2014-8551 ทำให้แฮกเกอร์สามารถส่งโค้ดเข้ามารันในระบบได้จากระยะไกล (remote code execution) โดยไม่ต้องยืนยันตัวตนผู้ใช้ แฮกเกอร์เพียงแต่สร้างแพ็กเก็ตข้อมูลพิเศษขึ้นมา ช่องโหว่นี้มีความร้ายแรงตามระบบให้คะแนน CVSS อยู่ที่ 10.0 คะแนน

ช่องโหว่ CVE-2014-8552 ทำให้แฮกเกอร์ส่งข้อมูลเข้ามายังเซิร์ฟเวอร์ WinCC เพื่อบังคับให้ดาวน์โหลดไฟล์จากเซิร์ฟเวอร์ที่แฮกเกอร์ต้องการได้ ความร้ายแรงตาม CVSS อยู่ที่ 7.8 คะแนน

ช่องโหว่ทั้งสองสามารถถูกแฮกจากแฮกเกอร์ที่ความสามารถไม่สูงนัก (low skill) ความเสี่ยงที่จะถูกโจมตีจึงสูงมาก ผู้ดูแลระบบควรรีบติดตั้งแพตช์โดยเร็ว

ระบบ SCADA เป็นระบบสื่อสารที่ใช้งานกันในการควบคุมโครงสร้างพื้นฐานและโรงงาน รวมไปถึงโรงงานผลิตไฟฟ้า, ระบบน้ำประปา, ระบบระบายน้ำเสีย, ไปจนถึงระบบควบคุมอุณหภูมิตามอาคาร

ที่มา - ICS-CERT, The Register

Tags:
Google

เมื่อครั้งกูเกิลอัพเดต Google Play Services 6.5 นอกจากจะมีฟีเจอร์ตามที่ข่าวรายงานมา ยังมีฟีเจอร์เพื่อความปลอดภัยที่ถูกปรับปรุงให้ใช้งานง่ายขึ้นอย่าง Smart Lock ที่ถูกอัพเดตมาพร้อมกันด้วย

ฟีเจอร์ Smart Lock อันใหม่ที่มาพร้อมกับ Google Play Services 6.5 ซึ่งเปิดตัวมาพร้อมกับ Android Lollipop ช่วยให้ผู้ใช้งานที่ตั้งค่าล็อกหน้าจอไว้ สามารถปลดล็อกตัวเครื่องได้สะดวกขึ้นตามสถานที่ที่เลือกได้เอง โดยเริ่มต้นระบบจะตั้งให้สามารถใช้ได้กับที่ทำงาน และที่บ้าน แต่สามารถเพิ่มเข้าไปด้วยตัวเองได้

ตัวระบบอยู่ในหมวดตั้งค่าของ Smart Lock เพิ่มเติมจากเดิมที่มีการใช้งานการปลดล็อกผ่านอุปกรณ์บลูทูธ (Trusted devices) และการปลดล็อกด้วยใบหน้า (Trusted face) โดยจะเป็นเมนูชื่อว่า Trusted places โดยอิงจากพิกัดบน Google Maps นั่นเอง

เท่าที่สังเกตดูจากในภาพประกอบ น่าจะใช้ข้ามการล็อกเครื่องได้ในระยะประมาณ 100 เมตรจากสถานที่ที่เลือกไว้ครับ

ที่มา - Android Police

Tags:
USB

หลายคนคงคุ้นเคยกับโฆษณาของโทษและอันตรายของบุหรี่ทั้งต่อตัวผู้สูบเองและคนรอบข้างแล้ว แต่โทษของมันกลับข้ามมากระทบกับคอมพิวเตอร์ด้วยเมื่อมีข่าวลือว่ามีการฝัง malware เข้าไปในบุหรี่ไฟฟ้าที่ผลิตจากประเทศจีน

มีผู้ใช้งาน Reddit ชื่อ Jrockilla ได้ตั้งกระทู้บอกว่าคอมพิวเตอร์ของผู้บริหารคนหนึ่งติด malware โดยที่ไม่สามารถหาสาเหตุได้ว่าติดได้อย่างไร และคอมพิวเตอร์ดังกล่าวก็ติดตั้งอัพเดตของ OS และ anti-virus อยู่เสมอ จึงทำให้แผนก IT ถามผู้บริหารว่าเขาได้เปลี่ยนพฤติกรรมการใช้ชีวิตหรือเปล่า เขาก็ตอบว่าเลิกสูบบุหรี่ได้ 2 สัปดาห์และเปลี่ยนไปสูบบุหรี่ไฟฟ้าแทน ซึ่งหลังจากตรวจสอบบุหรี่ไฟฟ้าแล้วพบว่ามี malware ฝังอยู่กับที่ชาร์จของบุหรี่ไฟฟ้า โดยเมื่อเสียบที่ชาร์จดังกล่าวเข้ากับคอมพิวเตอร์ ที่ชาร์จจะติดต่อกลับไปที่ศูนย์ควบคุมและสั่งงานของ malware (ต้นฉบับใช้คำว่า phoned home) และส่งผลให้คอมพิวเตอร์เครื่องดังกล่าวติด malware ในที่สุด

Pierluigi Paganini หัวหน้าแผนกความปลอดภัยทางสารสนเทศของบริษัท Bit4Id ได้บอกว่าถึงแม้ไม่มีรายงานเกี่ยวกับความถูกต้องว่าเรื่องนี้เป็นเรื่องจริงหรือเปล่า แต่เขาก็บอกว่าการโจมตีแบบนี้เป็นไปได้ในทางปฏิบัติหากนำ BadUSB หรือ Mactans มาประยุกต์ใช้เพื่อใช้โจมตีเหยื่อ

ที่มา - Security Affairs ผ่าน Yahoo! Tech

Tags:
Google

กูเกิลเพิ่มหน้า Devices & Activity ในหน้า Google Account เพื่อบอกให้ผู้ใช้ทราบว่าบัญชีของตัวเองมีอุปกรณ์ใดเข้าถึงได้บ้าง และมีการล็อกอินครั้งล่าสุดเมื่อไร-จากสถานที่ใด (นับรอบ 28 วันล่าสุด)

ฟีเจอร์นี้ใช้ได้กับ Google Account สำหรับผู้ใช้ทั่วไป และบัญชี Google Apps สำหรับผู้ใช้กลุ่มองค์กรด้วย ช่วยให้ผู้ใช้บัญชีกูเกิลทั้งสองแบบตรวจสอบการเข้าถึงบัญชีของตัวเองได้ง่ายขึ้น เพิ่มความปลอดภัยขึ้นในภาพรวม

นอกจากนี้กูเกิลยังเพิ่ม Security Wizard สำหรับผู้ใช้กลุ่มองค์กร ช่วยให้ผู้ใช้กรอกข้อมูลสำคัญด้านความปลอดภัยได้ง่ายขึ้น (เช่น อีเมลสำรอง คำใบ้รหัสผ่าน) เป็นการจูงใจให้ผู้ใช้เพิ่มมาตรการความปลอดภัยกับบัญชีของตัวเองเช่นกัน

ที่มา - Google for Work Blog