Security

Google เตรียมไม่ให้ล็อกอินผ่าน embeded browser ป้องกัน MitM, แนะใช้ OAuth แทน

By nismod

on 19 April 2019 - 14:44 Tag: Google, Browser, Security

Google

Google ประกาศเตรียมเพิ่มกระบวนการป้องกันการโจมตีแบบ man-in-the-middle ในกระบวนการล็อกอินอีกขั้น ด้วยการบล็อกไม่ให้มีการล็อกอินแอคเคาท์ Google ผ่านเบราว์เซอร์แบบฝังอย่าง Chromium Embeded Framework

Google ให้เหตุผลว่าเพราะแยกทราฟฟิคที่มาจากเฟรมเวิร์คเบราว์เซอร์แบบฝังไม่ออกว่าเป็นการล็อกอินจริงหรือ MitM ขณะที่มาตรการนี้จะเริ่มใช้งานในเดือนมิถุนายนนี้ พร้อมแนะนำให้นักพัฒนาเปลี่ยนไปใช้ระบบล็อกอิน OAuth แทน

ที่มา - Google Security Blog

ฉาวไม่จบ Facebook เก็บรหัสผ่าน Instagram แบบ Plaintext กระทบผู้ใช้หลักล้านคน

By mk

on 19 April 2019 - 09:37 Tag: Instagram, Facebook, Password, Security

Instagram

ข่าวฉาวของ Facebook ยังออกมาเรื่อยๆ ตามปกติ เมื่อปลายเดือนมีนาคม บริษัทยอมรับว่าเก็บรหัสผ่านของผู้ใช้ Facebook แบบ plaintext และกระทบผู้ใช้ "หลักร้อยล้านคน" (hundreds of millions) ถึงแม้ไม่มีหลักฐานบ่งชี้ว่ารหัสผ่านเหล่านี้ถูกเข้าถึงได้จากคนภายนอกบริษัท แต่ Facebook ก็แจ้งเตือนให้ผู้ใช้ที่ได้รับผลกระทบให้เปลี่ยนรหัสผ่านแล้ว

บัญชีบน Outlook.com ถูกแฮ็กเกอร์เข้าถึง ข้อมูลอีเมลของผู้ใช้บางส่วนรั่วไหล

By mk

on 15 April 2019 - 14:25 Tag: Outlook, Microsoft, E-mail, Data Breach, Security

Outlook

ไมโครซอฟท์ยืนยันว่าบริการอีเมลฟรี Outlook.com (ซึ่งครอบคลุมผู้ใช้อีเมล Hotmail และ MSN ด้วย) ถูกแฮ็กเกอร์เข้าถึงข้อมูลได้ และข้อมูลของลูกค้า "บางส่วน" รั่วไหลออกไป (ไมโครซอฟท์ไม่เปิดเผยตัวเลขที่แน่ชัด)

Gmail ประกาศรองรับมาตรฐานความปลอดภัย MTA-STS และ TLS Reporting เป็นรายแรก

By arjin

on 13 April 2019 - 11:25 Tag: Gmail, Security, E-mail, IETF

Gmail

กูเกิลประกาศว่า Gmail ได้เป็นผู้ให้บริการอีเมลรายใหญ่รายแรก ที่สนับสนุนมาตรฐานความปลอดภัยใหม่ 2 รายการ คือ SMTP MTA Strict Transport Security (MTA-STS) RFC 8461 และ SMTP TLS Reporting RFC 8460 ซึ่งกูเกิลร่วมกับผู้ให้บริการอีเมลรายใหญ่ ผลักดันมาตรฐานนี้ผ่านองค์กร IETF ตั้งแต่ 3 ปีที่แล้ว

อย่างไรก็ตามแม้ Gmail จะประกาศรองรับมาตรฐานใหม่นี้ก่อน แต่หากโดเมนอีเมลของผู้ให้บริการรายอื่นยังไม่รองรับ อีเมลที่ส่งออกไปก็ไม่มีการเข้ารหัสบนมาตรฐานใหม่นี้อยู่ดี กูเกิลจึงหวังว่าผู้ให้บริการอื่นจะรองรับมาตรฐานความปลอดภัยนี้เช่นกัน

Google เพิ่มทางเลือก มือถือแอนดรอยด์เป็นฮาร์ดแวร์ยืนยันตัวตน 2 ชั้นสำหรับแอคเคาท์ Google

By nismod

on 11 April 2019 - 12:05 Tag: Google, Security, Authentication

Google

นอกจาก Titan Security Key ที่เป็นฮาร์ดแวร์ยืนยันตัวตน 2 ขั้นของ Google แล้ว ล่าสุดบริษัทประกาศให้สามารถใช้สมาร์ทโฟนแอนดรอยด์ เป็นฮาร์ดแวร์โทเคนสำหรับยืนยันตัวตนอีกชั้นหนึ่งสำหรับล็อกอินแอคเคาท์ Google ได้แล้ว หลังแอนดรอยด์ผ่านการรับรอง FIDO2 เมื่อต้นปี

โดนจนได้ Samsung Galaxy S10 สามารถใช้ลายนิ้วมือเครื่องพิมพ์สามมิติสแกนเข้าได้

By sunnywalker

on 9 April 2019 - 13:35 Tag: Galaxy S10, Security, Fingerprint

Galaxy S10

ผู้ใช้งานรายหนึ่งชื่อ Darkshark โพสต์คลิปทดลองการใช้ลายนิ้วมือที่ปรินท์ออกจากเครื่องพิมพ์สามมิติสแกนเข้าเครื่อง Samsung Galaxy S10 ปรากฏว่าทำได้

เริ่มจากถ่ายรูปลายนิ้วมือตัวเองบนแก้วไวน์ เอาไปเข้าโปรแกรม Photoshop เพื่อเพิ่มคอนทราสต์ และโปรแกรม 3ds Max เพื่อทำให้ลายเส้นนิ้วมือมันเป็นสามมิติ และปรินท์มันออกมา จากนั้นก็เอาไปแตะที่หน้าจอและใช้นิ้วที่สวมถุงมือยางกดลงไป ก็สามารถสแกนเข้าไปได้ แต่ Darkshark บอกว่ามันไม่สำเร็จในครั้งแรก แต่มาสำเร็จในครั้งที่สาม และใช้เวลาปรินท์ลายนิ้วมือ 13 นาที

วิศวกร AWS เล่าประสบการณ์แพตช์ Heartbleed: ประกาศภาวะฉุกเฉินสูงสุด หยุดทุกอย่างแล้วแพตช์ในไม่กี่ชั่วโมง

By lew

on 8 April 2019 - 20:57 Tag: AWS, Security, Heartbleed

AWS

ช่องโหว่ Heartbleed ครบรอบ 5 ปีที่มีการรายงานต่อสาธารณะในวันนี้ Colm MacCárthaigh วิศวกรด้านเน็ตเวิร์คและความมั่นคงปลอดภัยไซเบอร์ของ AWS ก็ออกมาทวีตถึงประสบการณ์ในวันนั้น

Heartbleed เป็นช่องโหว่ที่แฮกเกอร์สามารถอ่านหน่วยความจำในเซิร์ฟเวอร์ได้ ความพิเศษของมันคือการโจมตีทำได้ง่ายอย่างยิ่ง ทำให้คาดได้ว่าหลังจากช่องโหว่เปิดเผยต่อสาธารณะแล้ว จะมีการโจมตีภายในเวลาอันสั้น เทียบกับช่องโหว่อื่นที่แม้จะร้ายแรง เช่น สามารถรันโค้ดบนเครื่องเหยื่อได้ แต่การโจมตีมักมีความซับซ้อน ทำให้เกิดการโจมตีจริงหลังรายงานออกมาแล้วระยะหนึ่ง

ช่องโหว่แอปแอนตี้ไวรัส Xiaomi เปิดช่อง MitM ฝังมัลแวร์, แพตช์แล้ว

By nismod

on 6 April 2019 - 21:27 Tag: Xiaomi, Security

Xiaomi

Slava Makkaveev นักวิจัยด้านความปลอดภัยจาก Check Point Research รายงานการค้นพบช่องโหว่ในแอป Guard Provider ซึ่งเป็นแอปแอนตี้ไวรัสที่ถูกติดตั้งมาตั้งแต่โรงงานในเครื่อง Xiaomi ที่ใช้รอม MIUI ทุกเครื่อง ซึ่งช่องโหว่นี้เปิดช่องให้แฮกเกอร์โจมตีและฝังมัลแวร์หรือแรนซัมแวร์ในเครื่องเหยื่อได้

การทำงานของ Guard Provider จะอาศัย SDK จากผู้ให้บริการแอนตี้ไวรัส 3 เจ้าคือ Avast, AVL และ Tencent ให้ผู้ใช้เลือกเอนจินที่จะสแกน ซึ่งการที่ Guard Provider มี 3 SDK ในตัวเดียวนี้เองก็เป็นปัญหาในตัวแต่แรกด้วย เพราะหาก SDK มีช่องโหว่จะกระทบหมดและการเข้าถึงสตอเรจของแต่ละ SDK ก็ไม่ถูกแยกออกจากกันด้วย

พบเฟซบุ๊กขอ "รหัสผ่านอีเมล" จากผู้ใช้ใหม่บางส่วน เมื่อให้ไปจะดูดรายชื่อติดต่อไปด้วย

By lew

on 3 April 2019 - 13:04 Tag: Facebook, Privacy, Security

Facebook

ผู้สมัครเฟซบุ๊กใหม่บางส่วนพบว่าเว็บเฟซบุ๊กขอ "รหัสผ่านอีเมล" เพื่อยืนยันตัวตน โดยระบุว่าใช้กับผู้ใช้กลุ่มเล็กๆ ที่ไม่รองรับการยืนยันความเป็นเจ้าของบัญชีอีเมลด้วยวิธีการอื่น เช่น OAuth

ไม่มีข้อมูลยืนยันว่าผู้ใช้กลุ่มเล็กๆ ของเฟซบุ๊กนั้นกำหนดอย่างไร โดยผู้ใช้ทวิตเตอร์ @originalesushi ระบุว่าเขาทดสอบลงทะเบียน 3 ครั้งพบหน้าขออีเมล 2 ครั้ง ขณะที่ The Daily Beast ทดสอบลงทะเบียนโดย VPN ไปยังโรมาเนียก็พบหน้าจอแบบเดียวกัน

กูเกิลออกแพตช์รอบเดือนเมษายน 2019, แก้บั๊ก Ambient Display ของ Pixel 3

By mk

on 2 April 2019 - 10:42 Tag: Android, Security, Google Pixel 3

Android

กูเกิลออกแพตช์ความปลอดภัยรอบเดือนเมษายน 2019 ให้กับสมาร์ทโฟนตระกูล Pixel 1/2/3

นอกจากการอัพเดตแพตช์ความปลอดภัยตามรอบเดือนปกติ แพตช์ตัวนี้ยังแก้บั๊กหลายอย่างของ Pixel 3/3 XL เช่น แก้บั๊กหน้าจอสว่างเกินไปตอน ambient display ตื่น, ปรับปรุงประสิทธิภาพของ Voice Unlock และ Wi-Fi ในกรณีที่ใช้ eSIM กับบางเครือข่าย

ส่วน Pixel รุ่นแรกก็ได้ปรับปรุงประสิทธิภาพเรื่องการเชื่อมต่อ Bluetooth ด้วย

ไม่ทิ้งกัน Galaxy S7 อายุครบ 3 ปี แต่ยังได้แพตช์ความปลอดภัยต่อเป็นรายไตรมาส

By mk

on 2 April 2019 - 09:56 Tag: Galaxy S7, Samsung, Security, Mobile

Galaxy S7

ช่วงหลังซัมซุงดูจะซัพพอร์ตมือถือเรือธงรุ่นเก่าๆ ยาวนานเป็นพิเศษ ก่อนหน้านี้คือ Galaxy S6 ที่อายุครบ 4 ปีแต่ก็ยังได้แพตช์ความปลอดภัยต่อ ส่วนกรณีล่าสุดคือ Galaxy S7 ที่อายุครบ 3 ปี ก็ยังได้แพตช์ต่อเช่นกัน แค่เปลี่ยนจากแพตช์รายเดือนมาเป็นแพตช์รายไตรมาส

ปกติแล้วซัมซุงจะออกแพตช์รายเดือนให้มือถือกลุ่มเรือธง (ปัจจุบันคือ Galaxy S8/S9/S10, Note 8/9) และออกแพตช์รายไตรมาสให้กับมือถือกลุ่มรองๆ ลงมา

กรณีของ Galaxy S7, S7 Edge ที่มีอายุครบ 3 ปี (ออกปี 2016) ยังไม่ถูกลอยแพ แต่ลดชั้นลงมาจากกลุ่มรายเดือนเป็นกลุ่มรายไตรมาสนั่นเอง

UC Browser มีฟีเจอร์ลับดาวน์โหลดและติดตั้งปลั๊กอินอัตโนมัติจากเซิร์ฟเวอร์, เปิดช่องแฮกเกอร์ส่งมัลแวร์เข้าเครื่อง

By nismod

on 1 April 2019 - 14:49 Tag: UC Browser, Security

UC Browser

Dr.WEB ผู้ให้บริการแอนตี้ไวรัสรายงานเมื่อสัปดาห์ที่แล้ว ถึงความเสี่ยงจากการใช้งาน UC Browser และ UC Browser Mini เบราว์เซอร์ของ UC Web ในเครือ Alibaba บนแอนดรอยด์ เนื่องจากเปิดโอกาสในการถูกโจมตีแบบ man-in-the-middle (MITM) เสีี่ยงถูกรันโค้ดไม่ประสงค์ดีได้

Google ปรับระบบล็อกอินไปใช้ WebAuthn ใช้กุญแจความปลอดภัยล็อกอินผ่าน Firefox, Edge ได้แล้ว

By nutmos

on 31 March 2019 - 23:38 Tag: Google, Authentication, Security, Firefox, Microsoft Edge, Chrome

Google

แต่เดิมนั้น ผู้ใช้ Google จะล็อกอินเข้าบัญชีด้วยกุญแจความปลอดภัยจะต้องใช้ Chrome เท่านั้น แต่ล่าสุด Google ได้ประกาศว่าตอนนี้ ผู้ใช้กุญแจความปลอดภัยสามารถล็อกอินผ่าน Firefox และ Edge ได้แล้ว

Google ระบุว่าก่อนหน้านี้หน้าล็อกอินใช้ระบบ U2F กับการล็อกอินด้วยกุญแจความปลอดภัย แต่ตอนนี้ได้เปลี่ยนไปใช้ Web Authentication หรือ WebAuthn ที่ W3C เพิ่งรับเข้าเป็นมาตรฐานเว็บ จึงทำให้ Firefox และ Edge สามารถล็อกอินได้ด้วยเช่นกัน

พบช่องโหว่ในเราท์เตอร์ TP-Link SR20 และอาจมีรุ่นอื่น แฮกเกอร์รันโค้ดด้วยสิทธิ์ root ได้ ยังไม่มีแพตช์, เปิดเผยตัวอย่างการโจมตีแล้ว

By lew

on 30 March 2019 - 19:02 Tag: TP-Link, Security

TP-Link

Matthew Garrett วิศวกรความมั่นคงปลอดภัยของกูเกิลรายงานถึงช่องโหว่ของซอฟต์แวร์บนเราท์เตอร์ TP-Link SR20 ที่เปิดให้แฮกเกอร์สามารถรันโค้ดด้วยสิทธิ์ root จากระยะไกลได้ โดยตอนนี้พ้นกำหนดการรายงาน 90 วันแล้วทาง TP-Link ไม่ได้ตอบกลับ เขาจึงเปิดเผยช่องโหว่และตัวอย่างการโจมตีสู่สาธารณะ

ช่องโหว่ WinRAR ถูกใช้โจมตีแพร่หลายกว่าที่คิด ทั้งโจมตีทั่วไปและด้านความมั่นคง

By nismod

on 29 March 2019 - 18:27 Tag: WinRAR, Security

WinRAR

ช่องโหว่ WinRAR ที่ถูกเปิดเผยตังแต่เดือดที่แล้ว ที่ทำให้แฮกเกอร์สามารถแตกไฟล์มุ่งร้ายที่ไหนก็ได้ในเครื่อง กลายเป็นเครื่องมือและช่องทางในการเผยแพร่มัลแวร์และโทรจันที่ค่อนข้างแพร่หลายในรอบเดือนที่ผ่านมา

FireEYE บริษัทด้านความปลอดภัยรายงานว่าช่องโหว่ดังกล่าวของ WinRAR ถูกใช้เป็นช่องทางแพร่มัลแวร์ดักการพิมพ์ (keylogger), ไฟล์ PDF ที่รันสคริปต์ติดตั้งโทรจัน ที่ทำให้แฮกเกอร์เข้าถึงเครื่องเหยื่อผ่านทางไกล ไปจนถึงใช้เป็นเครื่องมือด้านข่าวกรองและความมั่นคง อย่างเพย์โหลดที่แอดเดรสของเซิร์ฟเวอร์ Command and Control ของกองทัพอิสราเอล

กูเกิลเปิดคอร์สความปลอดภัยคลาวด์ให้เรียนฟรี, เตรียมเปิดสอบ Cloud Security Engineer

By mk

on 28 March 2019 - 09:26 Tag: Google Cloud, Security, Certification, Coursera

Google Cloud

ตั้งแต่โลกเข้าสู่ยุคคลาวด์ เราก็เห็นปัญหาความปลอดภัยของคลาวด์หลากหลายระดับ ตั้งแต่ ลืมปิดสิทธิการเข้าถึง Amazon S3 ไปจนปัญหาอื่นๆ อีกมาก ทำให้ทักษะด้านความปลอดภัยของคลาวด์ก็เป็นที่ต้องการของตลาดมากขึ้นเป็นเงาตามตัว

ล่าสุด Google Cloud ประกาศเปิดคอร์สเฉพาะทาง Security in Google Cloud Platform Specialization ให้เรียนกันฟรีๆ บน Coursera โดยเนื้อหาครอบคลุมด้านความปลอดภัยหลากหลาย ตั้งแต่เรื่อง Identity and Access Management (IAM), Isolation, การตรวจสอบข้อมูลล็อกด้วย StackDriving, การป้องกัน DDoS และการอุดรูรั่วต่างๆ เป็นต้น

เซิร์ฟเวอร์อัพเดต ASUS ถูกแฮก โปรแกรม Live Update สำหรับโน้ตบุ๊กถูกฝังช่องโหว่เจาะจงเป้าหมาย

By lew

on 26 March 2019 - 18:47 Tag: ASUS, Security

ASUS

เซิร์ฟเวอร์สำหรับโปรแกรม Live Update ที่ใช้กระจายอัพเดตสำหรับโน้ตบุ๊กของ ASUS ถูกแฮก ทำให้ตัวโปรแกรมที่กระจายออกไปถูกวางช่องโหว่ โดยทาง Kaspersky ยืนยันว่ามีเครื่องที่ได้รับโปรแกรมที่มีช่องโหว่อย่างน้อย 57,000 เครื่อง แต่ประมาณจำนวนรวมอาจจะถึง 1 ล้านเครื่อง

อย่างไรก็ดี ช่องทางลับใน Live Update ที่ถูกวางไว้นี้ ถูกโปรแกรมให้เจาะจงเป้าหมายตามหมายเลข MAC address จำนวนเพียง 600 เครื่องเท่านั้น อย่างไรก็ดี ทาง Kaspersky ระบุว่า MAC ทั้ง 600 รายการนี้มาจากตัวอย่างโปรแกรม 200 ตัวอย่างที่แต่ละตัวมีรายการเครื่องเป้าหมายต่างกัน ดังนั้นอาจจะมี MAC อื่นที่ยังไม่พบตัวอย่าง

Microsoft Defender ออกเวอร์ชันแมค เน้นตลาดลูกค้าองค์กร

By mk

on 22 March 2019 - 10:30 Tag: Microsoft Defender, macOS, Microsoft, Antivirus, Security

Microsoft Defender

ไมโครซอฟท์เปิดตัวชุดซอฟต์แวร์ความปลอดภัย Microsoft Defender ATP for Mac สำหรับระบบปฏิบัติการ macOS อย่างเป็นทางการ ใช้ได้กับ macOS Sierra ขึ้นไป

ต้องอธิบายกันสักนิดว่า ซอฟต์แวร์ตัวนี้คือ Windows Defender Advanced Threat Protection (ATP) ซึ่งเป็นบริการแบบเสียเงินสำหรับลูกค้าองค์กร และขยายความสามารถจากการเป็นแอนตี้ไวรัสธรรมดา ให้ครอบคลุมถึงภัยคุกคามแบบอื่นๆ เช่น การป้องกันการโดนแฮ็ก การแจ้งเตือนเครื่องที่โดนแฮ็ก ฯลฯ ด้วย

ผู้พิมพ์วารสารวิชาการ Elsevier ทำข้อมูลผู้ใช้หลุดสู่สาธารณะทั้งชื่อผู้ใช้และรหัสผ่านไม่เข้ารหัส

By lew

on 19 March 2019 - 22:39 Tag: Elsevier, Data Breach, Security

Elsevier

Mossab Hussein นักวิจัยความมั่นคงปลอดภัยไซเบอร์จากบริษัท SpiderSilk รายงานถึงเซิร์ฟเวอร์ของบริษัท Elsevier ผู้ตีพิมพ์วารสารวิชาการสำคัญๆ จำนวนมาก ทำให้อีเมลและรหัสผ่านของผู้ใช้หลุดสู่สาธารณะ

Hussein สาธิตให้ทางเว็บ Motherboard ดูด้วยการเข้าไปยังเว็บที่เป็น Kibana ระบบแสดงข้อมูลของ Elastic จากนั้นเขาเปลี่ยนรหัสของตัวเองแล้วหน้าจอก็แสดงรหัสผ่านให้โดยไม่มีการเข้ารหัส

ทาง Elsevier ระบุว่าเซิร์ฟเวอร์เปิดสู่สาธารณะจากความผิดพลาด และยังไม่มีรายงานว่ามีการใช้ข้อมูลในทางที่ผิด แต่ทางบริษัทกำลังแจ้งหน่วยความปกป้องความเป็นส่วนตัวข้อมูล และแจ้งให้ผู้ใช้เปลี่ยนรหัสผ่านต่อไป

แจ้งเตือน Patch Tuesday ของไมโครซอฟท์เดือนนี้มีการโจมตีตั้งแต่เดือนกุมภาพันธ์ ควรรีบอัพเดต

By lew

on 18 March 2019 - 00:05 Tag: Microsoft, Security

Microsoft

ไมโครซอฟท์ปล่อยอัพเดต Patch Tuesday ประจำเดือนมีนาคม มาตั้งแต่วันที่ 12 มีนาคมที่ผ่านมา อย่างไรก็ดีเดือนนี้มีความพิเศษที่ช่องโหว่บางส่วนถูกโจมตีมาแล้วอย่างน้อยครึ่งเดือน โดยทาง Kaspersky เป็นผู้แจ้งไปยังไมโครซอฟท์

ช่องโหว่ CVE-2019-0797 เป็นช่องโหว่การยกระดับสิทธิ์โค้ดที่รันอยู่บนเครื่อง (local privilege escalation) จาก systemcall ที่ไม่เปิดเผยต่อสาธารณะ คือ NtDCompositionDiscardFrame และ NtDCompositionDestroyConnection ตัวโค้ดจะตรวจสอบว่าตัวเองรันอยู่ใน sandbox หรือไม่ด้วยการตรวจสอบชื่อโปรแกรมว่าเป็น chrome.exe หรือไม่ หากใช่ให้หยุดทำงาน

Subscribe to Security