Security

เพื่อโค้ดที่ปลอดภัย GitHub เพิ่มฟีเจอร์ค้นหาช่องโหว่ในโค้ด, เปิดภาษาคิวรี CodeQL ให้ใช้ฟรี

By mk

on 24 November 2019 - 15:43 Tag: GitHub, Security, Development

GitHub

GitHub เปิดตัวโครงการ GitHub Security Lab เพื่อยกระดับความปลอดภัยของซอฟต์แวร์โอเพนซอร์สบน GitHub โดยโครงการนี้ประกอบด้วย

ทวิตเตอร์ปรับระบบยืนยันตัวตนสองปัจจัยใหม่ ไม่บังคับกรอกเบอร์โทรศัพท์แล้ว

By nutmos

on 22 November 2019 - 22:39 Tag: Twitter, Security, Authentication

Twitter

ทวิตเตอร์ประกาศปรับปรุงฟีเจอร์การยืนยันตัวตนสองปัจจัยหรือ 2FA ใหม่ โดยยกเลิกการกรอกเบอร์โทรศัพท์เพื่อการส่ง SMS รหัสยืนยันตัวตนแล้ว

ปัจจุบัน ทวิตเตอร์มีระบบยืนยันตัวตนสองปัจจัยสามแบบ คือ SMS, แอปสร้างรหัส (เช่น Google Authenticator) และกุญแจความปลอดภัย (เช่น YubiKey) ซึ่งก่อนหน้านี้ หากเปิดการยืนยันตัวตนสองปัจจัยจะต้องเปิดช่องทาง SMS เสมอ ส่วนอีกสองช่องทางเป็นทางเลือกว่าจะเปิดหรือไม่เปิดก็ได้

แอปกล้อง Google Camera และ Samsung Camera มีช่องโหว่ แอปอื่นแอบถ่ายภาพและดูภาพในเครื่องได้

By lew

on 21 November 2019 - 23:57 Tag: Android, Security

Android

ทีมวิจัยจากบริษัท Checkmarx รายงานช่องโหว่ของแอปกล้องถ่ายภาพ Google Camera ในโทรศัพท์ Pixel และ Samsung Camera ในโทรศัพท์ซัมซุงหลายรุ่น ที่มีช่องโหว่ใน Intent ทำให้แอปในเครื่องสามารถอ่านไฟล์ในเครื่องแม้ไม่ได้รับสิทธิ์ และยังควบคุมกล้องให้ถ่ายภาพโดยผู้ใช้ไม่ได้อนุญาต

ทาง Checkmarx แจ้งช่องโหว่ไปยังกูเกิลตั้งแต่เดือนกรกฎาคมและทางกูเกิลก็ยืนยันช่องโหว่ในไม่กี่วันโดยตอนแรกระบุความร้ายแรงเป็นปานกลาง ก่อนจะยกระดับเป็นระดับสูง และปล่อยอัพเดตผ่าน Google Play ในเดือนเดียวกัน

รู้จัก Stalkerware หรือ Spouseware แอพสอดแนมคู่รัก-พนักงาน ที่กำลังเป็นปัญหาใหญ่

By mk

on 21 November 2019 - 08:32 Tag: Spyware, Security, Kaspersky, Surveillance, Privacy, Avira, Antivirus, Malwarebytes, NortonLifeLock

Spyware

ช่วงหลังมานี้ ซอฟต์แวร์สอดแนม-ตามรอยที่เรียกว่า stalkerware หรือ spouseware ซึ่งมักใช้ในการติดตามพฤติกรรมของคู่รัก สามี/ภรรยา บุตรหลาน พนักงานในองค์กร ฯลฯ กำลังได้รับความนิยมมากขึ้น ซอฟต์แวร์กลุ่มนี้ถูกเรียกว่า legal spyware คือเป็นสปายแวร์ที่ถูกกฎหมาย (เพราะเป็นการใช้งานกับคนในครอบครัวกันเอง หรืออาจบอกว่ามันคือ parental control แทน) แม้ไม่ถูกต้องในเชิงจริยธรรม (ผู้ถูกติดตามไม่ทราบว่าถูกติดตั้งซอฟต์แวร์นี้)

ไมโครซอฟท์เตรียมรองรับ DNS-over-HTTPS ใน Windows Insider, เปิดทำงานเองหากเซิร์ฟเวอร์รองรับ

By lew

on 20 November 2019 - 07:52 Tag: Microsoft, DNS, Security, Windows

Microsoft

ไมโครซอฟท์ประกาศเตรียมรองรับ DNS-over-HTTPS (DoH) ใน Windows Insider โดยยังไม่กำหนดช่วงเวลาว่าจะปล่อยฟีเจอร์นี้เมื่อใด อย่างไรก็ตาม Tommy Jensen ผู้จัดการโครงการส่วน Windows DNS Client ระบุหลักการคร่าวๆ ว่า

พบช่องโหว่ซีพียูอินเทลรุ่นใหม่ๆ หลายรุ่น คนร้ายอ่านข้อมูลข้าม VM ได้อีกครั้ง

By lew

on 15 November 2019 - 08:29 Tag: Intel, Security

Intel

ทีมวิจัยรายงานช่องโหว่ Zombieload v2 หรือ CVE-2019-11135 ช่องโหว่การอ่านหน่วยความจำที่ไม่ได้รับอนุญาต โดยอาศัยกระบวนการทำงานของชุดคำสั่ง TSX (transactional memory) ทำให้โปรเซสมุ่งร้ายสามารถอ่านข้อมูลในหน่วยความจำที่ไม่มีสิทธิ์ เช่น กรณีการใช้เครื่องเสมือน (virtual machine - VM) บนคลาวด์ เครื่องที่มุ่งร้ายก็อาจจะไปอ่านข้อมูลของเครื่องอื่นได้

พบบั๊กในเฟซบุ๊ก iOS แอบเปิดกล้องหลังเองขณะไถฟีด

By nismod

on 13 November 2019 - 10:58 Tag: Facebook, iOS, Security

Facebook

ผู้ใช้ทวิตเตอร์ที่ชื่อว่า Joshua Maddux ได้ทวีตปัญหา (น่าจะบั๊ก) ที่พบบนเฟซบุ๊กเวอร์ชัน iOS ที่แอบเปิดกล้องหลังเองขณะที่เจ้าตัวกำลังไถอยู่บนนิวส์ฟีด (ดูตัวอย่างได้จากทวิตเตอร์ท้ายข่าว)

Maddux บอกว่าพบปัญหาบน iPhone ทุกเครื่องที่รัน iOS 13.2.2 แต่กลับไม่พบปัญหา iOS 12 (แต่ก็ไม่รู้ว่ามันแอบทำงานเหมือนกันหรือไม่) ขณะที่ทาง The Next Web ได้ทดสอบก็พบปัญหาเดียวกันบน iOS เวอร์ชันเดียวกัน แต่หากเป็น iOS 13.1.2 กลับไม่พบปัญหา เช่นเดียวกับที่ไม่พบบน Android 10 จาก Pixel 4

งาน Pwn2Own โตเกียว ทีมวิจัยแฮก Amazon Echo Show สำเร็จจากการใช้เอนจิน Chromium ตัวเก่า

By lew

on 13 November 2019 - 05:57 Tag: Amazon Echo Show, Pwn2Own, Security, Bug Bounty

Amazon Echo Show

ที่งาน Pwn2Own โตเกียวปีนี้มีการแข่งขันแฮกอุปกรณ์ IoT และคอมพิวเตอร์ขนาดเล็กจำนวนมาก โดยอุปกรณ์ตัวหนึ่งที่ถูกแฮกได้คือ Amazon Echo Show ลำโพงอัจริยะของ Amazon

ผู้โจมตีสำเร็จคือทีม Fluoroacetate การโจมตีอาศัยการบังคับให้ Echo Show เชื่อมต่อกับ Wi-Fi ที่ไม่ปลอดภัย จากนั้นยิงหน้าเว็บเพื่อเจาะผ่านบั๊ก integer overflow ของ Chromium รุ่นเก่า

Google จับมือ ESET, Lookout และ Zimperium ในความร่วมมือจัดการมัลแวร์แอนดรอยด์

By nismod

on 7 November 2019 - 11:22 Tag: Android, Google Play, Security, Malware

Android

ปัญหามัลแวร์หรือแอปประสงค์ร้ายบนแอนดรอยด์เป็นปัญหาที่หลอกหลอน Google มานาน แม้จะพยายามหามาตรการป้องกันเท่าไหร่ก็ตามแต่ก็ยังมีข่าวเจอแอปที่ฝังมัลแวร์จาก Play Store อยู่เรื่อย ๆ

ล่าสุด Google เลยอาศัยความร่วมมือจากมืออาชีพอย่าง ESET, Lookout และ Zimperium สามบริษัทแอนตี้ไวรัสเพื่อมาช่วยป้องกันและตรวจสอบ Play Store ให้มากขึ้นภายใต้โครงการ App Defense Alliance ที่ Google จะนำเอนจินสแกนหามัลแวร์จากทั้ง 3 เจ้ามาช่วยสแกน Play Store รวมถึงตรวจสอบแอปที่จะขึ้นสโตร์ใหม่ ช่วย Google Play Protect เพิ่มเข้าไปอีก 3 แรง

Yubico เปิดตัว YubiKey Bio กุญแจล็อกอินแบบยืนยันด้วยลายนิ้วมือ

By lew

on 6 November 2019 - 23:04 Tag: Yubico, Authentication, Security, U2F

Yubico

Yubico เปิดตัวกุญแจ YubiKey Bio กุญแจล็อกอินขั้นตอนที่สองตามมาตรฐาน FIDO ที่ตรวจสอบลายนิ้วมือผู้ใช้ก่อนที่จะยอมล็อกอิน

กุญแจ FIDO ปกติแล้วต้องการให้ผู้ใช้กดปุ่มเพื่อยืนยันการลงทะเบียนกุญแจ หรือล็อกอิน หากผู้ใช้ทำกุญแจหาย ผู้ใช้ต้องรีบล็อกอินไปยังบริการต่างๆ เพื่อยกเลิกการลงทะเบียนกุญแจที่หายไป การใช้งานเดิมของ FIDO นั้นเป็นการใช้งานเพื่อล็อกอินขั้นตอนที่สองหลังจากผู้ใช้ใส่รหัสผ่านทำให้ความเสี่ยงไม่สูงนัก แต่หากเป็นบริการที่ล็อกอินแบบไร้รหัสผ่านเลย การที่กุญแจสูญหายก็จะมีความเสี่ยงสูงขึ้น การที่กุญแจตรวจสอบผู้ใช้อีกครั้งด้วยลายนิ้วมือช่วยให้ความเสี่ยงลดลง

กูเกิลเปิดพิมพ์เขียวชิป OpenTitan เปิดทางสร้างชิปยืนยันการบูตที่ตรวจสอบได้

By lew

on 6 November 2019 - 01:48 Tag: Google, Security

Google

กูเกิลเปิดพิมพ์เขียวชิป OpenTitan โครงการออกแบบชิป root of trust (RoT) สำหรับตรวจสอบความถูกต้องของซอฟต์แวร์ก่อนรัน

ชิปกลุ่ม RoT นั้นมีใช้งานอยู่ทั่วไป เช่น โทรศัพท์มือถือที่สามารถล็อกไม่ให้บูตเฟิร์มแวร์ปรับแต่ง นอกจากป้องกันการติดตั้งเฟิร์มแวร์แล้ว มันยังใช้เก็บกุญแจเข้ารหัส, ทำงานฟังก์ชั่นที่ต้องการความปลอดภัยสูงเช่น สร้างเลขสุ่ม, หรือตรวจสอบซอฟต์แวร์ที่ทำงานอยู่ว่ายังไม่ถูกดัดแปลง แต่ชิปเหล่านี้เป็นทรัพย์สินทางปัญญาของผู้ผลิตแต่ละราย มีการปกปิดกระบวนการทำงานภายในแน่นหนา แม้ชิปอาจจะมี API เป็นมาตรฐานกลางแต่ก็ไม่เปิดเผยว่าซอฟต์แวร์ภายในทำงานอย่างไรบ้าง ทำให้การตรวจสอบทำได้ยาก

เฟซบุ๊ก, มอซิลล่า, Cloudflare เสนอมาตรฐานออกใบรับรองเข้ารหัสชั่วคราวสำหรับ CDN

By lew

on 3 November 2019 - 05:33 Tag: Security, CDN, Facebook, Mozilla, Cloudflare

Security

เฟซบุ๊ก, มอซิลล่า, และ Cloudflare ร่วมเสนอมาตรฐาน TLS Delegated Credentials มาตรฐานที่อนุญาตให้เจ้าของโดเมนสามารถออกใบรับรองระยะสั้นเพื่อใช้งานกับเซิร์ฟเวอร์ที่ช่วยกระจายข้อมูล (content delivery network - CDN)

ทุกวันนี้เมื่อเว็บไซต์ต่างๆ ต้องการใช้งาน CDN แบบเข้ารหัส ต้องนำใบรับรองและกุญแจลับไปมอบให้กับผู้ให้บริการ CDN กุญแจเหล่านี้จะถูกกระจายไปยังเซิร์ฟเวอร์ของผู้ให้บริการ ที่บางครั้งก็มีเซิร์ฟเวอร์จำนวนมากกระจายไปทั่วโลก หากเซิร์ฟเวอร์ตัวใดตัวหนึ่งถูกเจาะ คนร้ายก็จะได้กุญแจสำหรับเข้ารหัสทั้งหมด

WhatsApp รองรับการล็อกอินเข้าแอพด้วยลายนิ้วมือบน Android แล้ว

By mk

on 1 November 2019 - 09:31 Tag: WhatsApp, Security, Fingerprint, Android

WhatsApp รองรับการล็อกอินเข้าแอพด้วยลายนิ้วมือ/ใบหน้าบน iOS มาตั้งแต่ต้นปี ล่าสุด ประกาศรองรับการยืนยันตัวตนด้วยลายนิ้วมือบน Android แล้วเช่นกัน

วิธีการใช้งานให้เข้าไปที่ Settings > Account > Privacy > Fingerprint lock

ที่ปรึกษาความมั่นคงไซเบอร์ Trump ลืมรหัสผ่าน iPhone, ต้องให้พนักงานแอปเปิลรีเซ็ตเครื่อง

By mk

on 1 November 2019 - 09:09 Tag: Donald Trump, Password, Security, iPhone

Donald Trump

สำนักข่าว NBC รายงานว่า Rudy Giuliani อดีตนายกเทศมนตรีนครนิวยอร์ก และที่ปรึกษาด้านความมั่นคงไซเบอร์ของประธานาธิบดี Donald Trump เกิดลืมรหัสผ่าน iPhone ของตัวเอง และใส่รหัสผ่านผิดครบ 10 ครั้งทำให้เครื่องล็อค ทำให้เขาต้องเดินทางไปยังร้าน Apple Store เพื่อให้แอปเปิลแก้ไขให้

เหตุการณ์เกิดขึ้นเมื่อปี 2017 หลัง Giuliani ได้รับการแต่งตั้งให้เป็นที่ปรึกษาด้านความมั่นคงไซเบอร์ไม่นาน และสุดท้ายทางออกของเรื่องนี้คือ พนักงานแอปเปิลต้องรีเซ็ตเครื่องใหม่ และดึงข้อมูลกลับมาจาก iCloud ให้ Giuliani

WhatsApp ฟ้องบริษัทความปลอดภัยอิสราเอล ยิงมัลแวร์เข้าเครื่องผู้ใช้ 1,400 ราย

By lew

on 30 October 2019 - 15:54 Tag: WhatsApp, Israel, Security, NSO Group

WhatsApp ยื่นฟ้องบริษัท NSO Group และ Q Cyber บริษัทความปลอดภัยไซเบอร์จากอิสราเอล คำฟ้องระบุว่าทั้งสองบริษัทยิงมัลแวร์ผ่านเซิร์ฟเวอร์ของ WhatsApp ไปยังเครื่องเป้าหมายประมาณ 1,400 เครื่อง เพื่อดักฟังข้อความแชตของเครื่องเหล่านั้น

ช่องโหว่ PHP7 กระทบเมื่อใช้ PHP-FPM คู่กับ nginx คอนฟิกบางรูปแบบอาจเปิดทางรันโค้ดระยะไกล

By lew

on 27 October 2019 - 19:24 Tag: PHP, nginx, Security

PHP

PHP รายงานช่องโหว่ CVE-2019-11043 ในโมดูล FPM ที่ตรวจสอบค่าในตัวแปร environment ไม่ดีพอ ทำให้เมื่อคอนฟิกใน nginx บางรูปแบบแล้วทำให้แฮกเกอร์ยิง URL ที่ออกแบบมาเฉพาะทำให้รันโค้ดในเซิร์ฟเวอร์ได้

ทาง PHP ออกแพตช์ รุ่น 7.3.11 และ 7.2.24 มาแก้ไขช่องโหว่นี้เรียบร้อยแล้ว หรือในกรณีที่ยังแพตช์ไม่ได้ สามารถบล็อก "%0a" ใน URL ซึ่งเป็นการเข้ารหัสอักขระ newline

Adobe เผลอปล่อยฐานข้อมูลลูกค้า Creative Cloud 7.5 ล้านคน เข้าถึงได้แบบไม่ต้องมีรหัสผ่าน

By mk

on 26 October 2019 - 16:40 Tag: Adobe, Creative Cloud, Data Breach, Security

Adobe

บริษัทด้านความปลอดภัยไซเบอร์ Comparitech ค้นพบฐานข้อมูลลูกค้า Adobe Creative Cloud ที่เข้าถึงได้จากอินเทอร์เน็ตโดยไม่ต้องใส่รหัสผ่านใดๆ โดยมีข้อมูลลูกค้า อีเมล ข้อมูลบัญชี (ไม่มีรหัสผ่านและเลขบัตรเครดิต) ของลูกค้าราว 7.5 ล้านคน

Bob Diachenko นักวิจัยความปลอดภัยที่ค้นพบฐานข้อมูลนี้ แจ้งเตือนไปยัง Adobe ในวันเดียวกับที่ค้นพบ แต่ไม่มีข้อมูลว่ามีคนอื่นเข้าถึงฐานข้อมูลนี้ก่อนหน้าหรือไม่

ถึงแม้ฐานข้อมูลนี้ไม่มีข้อมูลสำคัญอย่างรหัสผ่านหรือบัตรเครดิต แต่ก็มีข้อมูลอีเมลที่อาจนำไปใช้หลอกลวงหรือ phishing ผู้ใช้กลุ่มนี้บนบริการอื่นๆ ได้เช่นกัน

ธนาคารกรุงไทยทวีต พบผู้ไม่หวังดีกวนระบบการลงทะเบียนชิม ช้อป ใช้ เฟส 2

By hinatasenjou

on 25 October 2019 - 10:30 Tag: KTB, Thailand, Security

KTB

นายผยง ศรีวณิช กรรมการผู้จัดการใหญ่ ธนาคารกรุงไทย เผยว่าตอนนี้ทางธนาคารพบผู้ไม่หวังดีเข้ามาก่อกวนระบบการลงทะเบียน ชิม ช้อป ใช้ เฟส 2 ทำให้ประชาชนที่ต้องการลงทะเบียนทำได้ช้ากว่าปกติ ตอนนี้ทางธนาคารประสานกับกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเพื่อจัดการปัญหาดังกล่าวแล้ว

ส่วนผู้ที่สนใจสามารถโหลดแอพเป๋าตังมาลงทะเบียนเฟส 2 ได้

ที่มา : ทวิตเตอร์ธนาคารกรุงไทย

Samsung S10, Note 10 ได้แพทช์แก้บั๊กอ่านลายนิ้วมือแล้ว เริ่มอัพให้ในเกาหลีก่อน

By hinatasenjou

on 24 October 2019 - 10:03 Tag: Samsung, Galaxy Note 10, Fingerprint, Security, Galaxy S10

Samsung

สัปดาห์ก่อน Samsung Galaxy S10, Galaxy Note 10 มีบั๊กปลดล็อคหน้าจอเมื่อติดฟิล์มกันรอยและทาง Samsung จะออกแพทช์แก้ปัญหามาให้ ตอนนี้ Samsung อัพเดตแพทช์ดังกล่าวในเกาหลีใต้แล้วก่อนเปิดให้ทั่วโลกภายหลัง

ทาง Samsung ได้ย้ำว่าเมื่ออัพเดตแพทช์นี้เสร็จแล้ว ขอให้ถอดฟิล์มกันรอยทิ้ง, ลบลายนิ้วมือที่เคยสแกนไว้ในเครื่องทั้งหมดออกแล้วสแกนใหม่เพื่อความปลอดภัย

ที่มา : Android Central

ไมโครซอฟท์เปิดตัวแนวคิด Secured-core PC พีซีที่มีระบบรักษาความปลอดภัยเฟิร์มแวร์

By mk

on 23 October 2019 - 14:01 Tag: Microsoft, Security, Hardware, Enterprise, UEFI

Microsoft

รูปแบบการโจมตีในยุคหลังซับซ้อนขึ้นเรื่อยๆ เราเริ่มเห็นการโจมตีในระดับชั้นที่ต่ำกว่า OS นั่นคือไปที่เฟิร์มแวร์โดยตรง ทำให้ OS ที่บูตขึ้นมาไม่สามารถตรวจจับได้ว่าโดนดักข้อมูลอยู่

ในโลกของฮาร์ดแวร์เซิร์ฟเวอร์ เราเริ่มเห็นผู้ผลิตฮาร์ดแวร์บางราย (เช่น Dell หรือ HPE) เพิ่มระบบรักษาความปลอดภัยที่ระดับของฮาร์ดแวร์ (hardware root of  trust) บางครั้งอาจไปถึงขั้น กูเกิลออกแบบชิปความปลอดภัย Titan ขึ้นมาใหม่ทั้งตัวเพื่อป้องกันการโจมตีเฟิร์มแวร์ลักษณะนี้

ล่าสุดแนวคิดนี้มาถึงโลกของพีซีแล้ว โดยไมโครซอฟท์เป็นผู้มาผลักดันด้วยตัวเอง และใช้ชื่อเรียกว่า Secured-core PC

Subscribe to Security