Android ผ่านการรับรอง FIDO2 แล้ว พร้อมรองรับการล็อกอินโดยไม่ต้องใช้รหัสผ่าน

By nutmos Writer on Tag: Android, FIDO, Security, Authentication
Android

FIDO Alliance ได้ประกาศให้ระบบปฏิบัติการ Android เป็นระบบปฏิบัติการที่ได้รับการรับรอง FIDO2 แล้ว เพื่อให้ผู้ใช้ Android สามารถใช้งานเซนเซอร์ลายนิ้วมือ และ/หรือ กุญแจความปลอดภัยของ FIDO เพื่อล็อกอินเข้าใช้งานเว็บไซต์หรือแอพที่รองรับโปรโตคอล FIDO2 ได้โดยไม่ต้องใช้รหัสผ่าน

การประกาศ FIDO2 Certified ให้ Android หมายความว่าอุปกรณ์ Android 7.0 หรือใหม่กว่าจะพร้อมรองรับโปรโตคอล FIDO2 ตั้งแต่แกะกล่อง หรือหลังจากอัพเดตผ่าน Google Play Services เพื่อให้ระบบ Android พร้อมใช้งาน FIDO2 ทันที

Read more

โครงการ CAESAR ประกาศอัลกอริธึมเข้ารหัสพร้อมตรวจสอบความถูกต้องที่ได้รับเลือก

By willwill on Tag: Cryptography, Security
Cryptography

อัลกอริธึมเข้ารหัสพร้อมตรวจสอบความถูกต้องจะใช้สำหรับการเข้ารหัสข้อมูล โดยเมื่อผู้รับถอดรหัสแล้วจะทราบทันทีว่าเป็นข้อความต้นฉบับหรือไม่ ต่างจากการเข้ารหัสปกติที่หากใช้กุญแจผิดจะได้ข้อมูลขยะออกมา ในปัจจุบันที่นิยมใช้กันคือ AES-GCM ที่ใช้ใน TLS 1.2

โครงการประกวด CAESAR ได้ประกาศผลอัลกอริธึมเข้ารหัสแบบยึนยันตน (Authenticated Encryption) ที่ชนะการประกวด แบ่งตามประเภทการใช้งานดังนี้

Read more

พบช่องโหว่ร้ายแรงบน WinRAR กระทบทุกเวอร์ชัน ให้แฮกเกอร์แตกไฟล์มุ่งร้ายที่ไหนก็ได้

By nismod Writer on Tag: Bug, Security, WinRAR
Bug

นักวิจัยจากบริษัทความปลอดภัย Check Point รายงานการค้นพบช่องโหว่ขั้นร้ายแรงบน WinRAR โปรแกรมบีบอัดและแตกไฟล์ชื่อดัง ซึ่งกระทบทุกเวอร์ชันที่ WinRAR เคยออกมาตลอด 19 ปี

นักวิจัยเรียกช่องโหว่นี้ว่า Absolute Path Traversal ซึ่งเป็นช่องโหว่ของไลบรารีภายนอกที่ชื่อว่า UNACEV2.DLL ที่ WinRAR เอาไว้แตกไฟล์ฟอร์แมท .ace โดย WinRAR จะตรวจสอบว่าไฟล์เป็นฟอร์แมต .ace จากเนื้อไฟล์โดยตรงไม่ใช่นามสกุลของไฟล์ ทำให้แฮกเกอร์สามารถแฝงมัลแวร์หรือไฟล์มุ่งร้ายมาในฟอร์แมท .ace โดยแก้สกุลเป็น .rar และเมื่อแตกไฟล์ออกมา แฮกเกอร์สามารถแตกไฟล์ดังกล่าวไปไว้ในโฟลเดอร์ที่แฮกเกอร์กำหนดไว้ได้

Read more

นักวิจัยพบทวิตเตอร์เก็บข้อความส่วนตัวไว้เป็นปี แม้จะลบบัญชีออกไปแล้วก็ตาม

By sunnywalker Writer on Tag: Twitter, Privacy, Security
Twitter

Karan Saini นักวิจัยความปลอดภัยไซเบอร์พบว่าทวิตเตอร์ไม่ได้ลบข้อมูลในแชทส่วนตัวออก แม้ผู้ใช้จะลบบัญชีนั้นไปแล้วก็ตาม โดยเขาพบข้อความที่มีอายุหลายปีใน archive ผ่านเว็บไซต์ซึ่งเขาพบว่าเป็นข้อความของบัญชีทวิตเตอร์ที่ไม่มีบนทวิตเตอร์แล้ว หรืออาจลบบัญชีออกไป

ทวิตเตอร์ระบุในนโยบายความเป็นส่วนตัวว่า เมื่อลบบัญชีออกและผ่านช่วงผ่อนผัน 30 วันไปแล้ว บัญชีผู้ใช้และข้อมูลต่างๆ ก็จะหายไปด้วย แต่จากการทดสอบโดยนักวิจัยความปลอดภัยไซเบอร์พบว่าไม่ไดเป็นเช่นนั้น เพราะยังสามารถกู้คืนข้อมูลแชทได้แม้จะผ่านไปเป็นปี โดยสามารถดาวน์โหลดผ่าน account’s data

Read more

บริษัทเทคโนโลยีเข้ารหัสออสเตรเลียถูกลูกค้าถามความน่าเชื่อถือ หลังออสเตรเลียผ่านกฎหมายต้องช่วยรัฐเข้าถึงข้อมูล

By lew Founder on Tag: Australia, Security
Australia

เมื่อปลายปีที่แล้วออสเตรเลียออกกฎหมายการให้ความช่วยเหลือเข้าถึงข้อมูล (Assistance and Access Act - AAA) ที่บังคับให้บริษัทไอทีต้องให้ความช่วยเหลือหน่วยงานรัฐเมื่อต้องการเข้าถึงข้อมูล ผ่านมาสองเดือน บริษัทที่ให้บริการเทคโนโลยีเข้ารหัสอย่าง Senetas ที่อยู่ในออสเตรเลียก็ออกมายอมรับว่ากำลังได้รับผลกระทบจากกฎหมายนี้

Senetas ระบุว่าลูกค้าถามเป็นประจำว่ากฎหมาย AAA จะส่งผลกระทบต่อบริการของบริษัทอย่างไร ขณะที่คู่แข่งจากต่างชาติก็ใช้กฎหมายและข่าวเกี่ยวกับกฎหมายนี้โจมตีว่าสินค้าและบริการของบริษัทไว้ใจไม่ได้

Read more

500px ประกาศถูกแฮกฐานข้อมูล ผู้ใช้ที่ลงทะเบียนก่อน 5 มิถุนายน 2018 กระทบทั้งหมด

By lew Founder on Tag: 500px, Data Breach, Security
500px

เว็บแชร์ภาพถ่าย 500px ประกาศถูกแฮกฐานข้อมูลหลังจากเมื่อวานนี้เว็บไซต์ The Register รายงานว่าฐานข้อมูลผู้ใช้ถูกประกาศขายในเว็บใต้ดิน จากการตรวจสอบพบว่าฐานข้อมูลถูกเข้าถึงในวันที่ 5 มิถุนายน 2018 และเมื่อตรวจสอบก็ไม่พบการเจาะซ้ำอีก โดยเว็บไซต์รู้ตัวว่าถูกเจาะเมื่อวันที่ 8 ที่ผ่านมา

ข้อมูลที่หลุดออกไปได้แก่ ชื่อ-นามสกุล, ชื่อผู้ใช้, อีเมล, ค่าแฮชรหัสผ่านเป็น MD5, วันเกิด, เมืองที่อยู่, และเพศ โดยข้อมูลสามอย่างหลังเป็นข้อมูลที่ไม่บังคับกรอก

Read more

อัพด่วน runc มีช่องโหว่ถูกอิมเมจมุ่งร้ายยึดเครื่องได้ กระทบหมดทั้ง Docker, Kubernetes, containerd, LXC

By lew Founder on Tag: Docker, Container, Security
Docker

นักวิจัยรายงานถึงช่องโหว่ของโปรแกรม runc ตัวคำสั่งคอมมานไลน์สำหรับรันคอนเทนเนอร์ ที่ใช้งานร่วมกับโครงการคอนเทนเนอร์สำคัญๆ จำนวนมาก ทั้ง Docker, cri-o, containerd, Kubernetes

Read more

ไทยทดสอบ 5G ของหัวเว่ย รัฐมนตรีดิจิทัลชี้ จะดูข้อหาความปลอดภัยของหัวเว่ยต่อไปว่าจริงหรือไม่

By sunnywalker Writer on Tag: Huawei, Thailand, 5G, Security
Huawei

ในขณะที่สถานการณ์หัวเว่ยในต่างประเทศยังไม่แน่นอน แต่ในไทยก็ทดสอบ 5G โดยใช้อุปกรณ์หัวเว่ยแล้ว โดย พิเชฐ ดุรงคเวโรจน์ รัฐมนตรีว่าการกระทรวงดิจิทัล ชี้ว่า การทดสอบนี้ไม่ได้หมายว่าความว่าไทยจะไม่คิดถึงประเด็นความปลอดภัย และทางรัฐบาลจะดูข้อหาความปลอดภัยของหัวเว่ยต่อไปว่าจริงหรือไม่ และยังบอกด้วยว่า ได้ติดตามสถานการณ์หัวเว่ยอย่างใกล้ชิด และช่วงนี้ยังเป็นช่วงการทดสอบเท่านั้น

นายพิเชฐ ให้สัมภาษณ์จากจากพื้นที่ทดสอบในจังหวัดชลบุรี เขตเศรษฐกิจ EEC ซึ่งผู้ให้บริการเจ้าอื่นอย่าง Nokia, Ericsson และผู้ให้บริการของไทยรายอื่นก็ทดสอบ 5G ในพื้นที่นี้ด้วยเช่นกัน

เมื่อผู้สื่อข่าวถามถึงความเคลื่อนไหวว่ามีเจ้าหน้าที่จากสหรัฐฯ ติดต่อเข้ามาเรื่องแบนอุปกรณ์หัวเว่ยหรือไม่นั้น นายพิเชฐ ระบุว่าไม่รู้เรื่องนี้

Read more

กูเกิลเปิดตัว Adiantum โหมดเข้ารหัสสตอเรจสำหรับโทรศัพท์แอนดรอยด์รุ่นล่าง

By lew Founder on Tag: Google, Cryptography, Security, Android
Google

การเข้ารหัสสตอเรจสำหรับโทรศัพท์และพีซีเริ่มได้รับความนิยมอย่างกว้างขวางในช่วงหลัง เช่น ไอโฟนนั้นเมื่อตั้งรหัสล็อกหน้าจอก็จะเป็นการเข้ารหัสเครื่องไปพร้อมกัน สำหรับแอนดรอยด์เองก็มักเปิดการเข้ารหัสได้แทบทุกรุ่นแล้ว ยกเว้นโทรศัพท์รุ่นล่างมากๆ หรือกล่องทีวีแอนดรอยด์ เช่นชิป Cortex-A7 ที่ไม่มีส่วนเร่งความเร็วการเข้ารหัส ทำให้ความเร็วต่ำเกินยอมรับได้ โดยอาจจะเหลือเพียง 20MB/s เท่านั้น ตอนนี้กูเกิลก็ออกแบบโหมดการเข้ารหัสที่ยังพอยอมรับได้ และประสิทธิภาพดีพอสำหรับโทรศัพท์เหล่านี้ เรียกว่า Adiantum

Read more

พบระบบควบคุมความเย็นจำนวนมากต่ออินเทอร์เน็ตและรหัสผ่านค่าเริ่มต้น รู้ URL ก็แก้ไขระบบได้

By nutmos Writer on Tag: Security
Security

นักวิจัยความปลอดภัยจาก Safety Detective ออกรายงานช่องโหว่ของระบบควบคุมอุณหภูมิในตู้แช่ที่เปิดโอกาสให้ผู้บุกรุกเข้ายึดครองอุปกรณ์และทำลายของที่แช่อยู่ในตู้ได้

ระบบที่ใช้ในตู้แช่นี้ พัฒนาโดย Resource Data Management หรือ RDM นิยมใช้กันแพร่หลายในร้านขายของชำ, โรงพยาบาลหรือองค์กรด้านเภสัช รวมถึงอีกหลาย ๆ ที่ ซึ่งตัวระบบใช้รหัสผ่านแบบที่ไม่ปลอดภัย และมีการเชื่อมต่ออินเทอร์เน็ต

Read more

Google ออกรายงาน bug bounty ปี 2018 จ่ายเงินรางวัลทั้งปีกว่า 3.4 ล้านดอลลาร์

By nutmos Writer on Tag: Google, Bug Bounty, Security, Privacy, Research
Google

Google ออกรายงานโครงการ bug bouty ประจำปี 2018 โดยแยกโปรแกรมออกเป็นสองอย่างคือการแจกรางวัลเมื่อแจ้งช่องโหว่ และแจกรางวัลให้งานวิจัยความปลอดภัยและความเป็นส่วนตัว

ในส่วนของการแจกรางวัลเมื่อแจ้งช่องโหว่ Google ระบุว่า เป้าหมายของโครงการนี้คือเพื่อจูงใจให้นักวิจัยความปลอดภัย รวมไปถึงบุคคลทั่วไปที่สนใจมาแจ้งช่องโหว่ให้ Google อุด และมีเงินรางวัลตอบแทนตั้งแต่ 100-200,000 ดอลลาร์ตามความร้ายแรงของช่องโหว่

Read more

ระบบเน็ตเวิร์คของรัฐบาลสภาออสเตรเลียพบปัญหาด้านความปลอดภัย, ไม่มีรายงานความเสียหาย

By nismod Writer on Tag: Australia, Security, Government
Australia

รัฐสภาของออสเตรเลียออกมาเปิดเผยว่าพบความผิดปกติด้านความปลอดภัยในระบบเนิ็ตเวิร์ค โดยไม่ได้เจาะจงว่าเป็นปัญหาอะไรและยังอยู่ระหว่างการสอบสวนร่วมกับหน่วยงานด้านความปลอดภัยไซเบอร์

แถลงการณ์ของรัฐสภาระบุว่าเบื้องต้นได้เปลี่ยนพาสเวิร์ดและบังคับใช้มาตรการต่างๆ เพื่อปกป้องข้อมูลเรียบร้อยแล้ว พร้อมยืนยันว่าไม่มีข้อมูลหลุดออกไป อีกทั้งยังไม่มีหลักฐานที่ชี้ชัดว่าเป็นความพยายามกำหนดทิศทางหรือการลงคะแนนเสียงต่างๆ ในสภา ด้านนายกรัฐมนตรีก็ยืนยันว่าไม่มีข้อมูลที่ชี้ว่า หน่วยงานรัฐหรือกระทรวงไหนตกเป็นเป้าหมายการโจมตีทางไซเบอร์

Read more

นักวิจัยพบแอปหลายเจ้า แอบใช้เครื่องมือบันทึกหน้าจอและติดตามการใช้งานลูกค้าโดยไม่บอก

By nismod Writer on Tag: Security, Privacy, Mobile App
Security

ข้อมูลหรือเซสชันการใช้งานของลูกค้าเรียกได้ว่าเป็นขุมทรัพย์สำคัญของบริษัทที่ให้บริการทั้งหลาย ซึ่งก็มีรายงานออกมาเนืองๆ เรื่องพฤติกรรมลักษณะนี้ของผู้ให้บริการที่ไม่มีการแจ้งเตือนผู้ใช้งาน

ล่าสุด App Analyst ได้เปิดเผยว่าแอปใหญ่ๆ หลายตัวบน iOS อาทิ Abercrombie & Fitch, Hotel.com, Expedia, Singapore Airlines, Air Canada เลือกใช้เครื่องมือของ Glassbox บันทึกหน้าจอและติดตามการใช้งานของลูกค้า (session replay) โดยไม่มีการแจ้งเตือน, ขออนุญาตหรือแม้แต่บอกใน Privacy Policy

Read more

Google ปล่อยแพตช์ Pixel กุมภาพันธ์ 2019 อุดช่องโหว่โจมตีทางไกลผ่านรูป .PNG

By nismod Writer on Tag: Android Pie, Google Pixel, Android, Security
Android Pie

Google ปล่อยแพตช์ความปลอดภัยประจำเดือนกุมภาพันธ์ 2019 ให้สมาร์ทโฟนในกลุ่ม Pixel แล้ว อุดช่องโหว่ความปลอดภัยทั้งหมด 42 จุด เป็นระดับร้ายแรง (critical) 11 จุด รวมถึงช่องโหว่ที่เกิดจากฮาร์แวร์ของ NVIDIA และ Qualcomm

หนึ่งในช่องโหว่ระดับร้ายแรงเป็นช่องโหว่ในเฟรมเวิร์ค ที่เปิดให้โจมตีทางไกลผ่านไฟล์ .PNG เพื่อรันโค้ดด้วยโปรเซสที่มีสิทธิระดับสูง ซึ่งกระทบตั้งแต่ Android Nougat ขึ้นไป อย่างไรก็ตาม Google ระบุว่ายังไม่พบรายงานการโจมตีด้วยช่องโหว่นี้

Read more

สมาร์ทวอทช์สำหรับเด็กแบรนด์เยอรมันถูก EU สั่งเก็บ เหตุไม่เข้ารหัสระบบสื่อสารและเซิร์ฟเวอร์

By nismod Writer on Tag: EU, Smart Watch, Privacy, Security
EU

Safe-Kid One สมาร์ทวอทช์สำหรับเด็กจากแบรนด์สัญชาติเยอรมนี ENOX เป็นผลิตภัณฑ์ตัวแรกที่ถูก European Commission ออกคำเตือนเร่งด่วน (RAPEX - Rapid Alert System for Non-Food Product) พร้อมสั่งเก็บออกจากชั้นวางขายในท้องตลาดทั้งหมด ด้วยเหตุผลว่าไม่ปกป้องข้อมูลส่วนตัวของผู้ใช้งาน

Read more

Google เปิดตัวส่วนขยายเช็ครหัสผ่านรั่วบน Chrome, ระบบเพิ่มความปลอดภัยให้แอพที่ล็อกอินด้วยบัญชี Google

By nutmos Writer on Tag: Google, Chrome, Security
Google

Google เปิดตัวฟีเจอร์ใหม่เพื่อช่วยให้ผู้ใช้ปลอดภัยในการใช้งานเว็บ คือ Password Checkup ส่วนขยายบน Chrome สำหรับตรวจสอบความปลอดภัยของรหัสผ่าน และ Cross Account Protection ที่ช่วยรักษาความปลอดภัยบัญชี

สำหรับฟีเจอร์ Password Checkup นั้น Google ระบุว่า โดยปกติแล้ว Google จะทำการรีเซ็ทรหัสผ่านบัญชี Google ของผู้ใช้ทันทีหากพบว่ามีโอกาสที่ข้อมูลจะรั่วจากบุคคลที่สาม ซึ่งส่วนนี้สามารถช่วยลดความเสี่ยงการถูกแฮกบัญชีได้ ดังนั้น Google จึงอยากนำแนวคิดนี้มาใช้กับทุกเว็บที่ผู้ใช้ได้ใช้งานอยู่ทุกวัน จึงเกิดส่วนขยาย Password Checkup นี้ขึ้นมา

Read more

ลินุกซ์เพิ่มทางเลือกปิดระบบป้องกันช่องโหว่ Spectre เพิ่มเติม ดึงประสิทธิภาพเครื่องกลับมา

By lew Founder on Tag: Linux, Spectre, Security
Linux

หนึ่งปีหลังการเปิดเผยช่องโหว่ Spectre และ Meltdown เคอร์เนลใหม่ๆ มีแนวทางป้องกันปัญหากันหมดแล้ว แม้กระบวนการป้องกันจะทำให้ประสิทธิภาพเครื่องลดลงก็ตาม แต่ช่วงปีที่ผ่านมาลินุกซ์ก็เพิ่มทางเลือกสำหรับปิดกระบวนการป้องกันเหล่านี้เพิ่มเติม และโค้ดล่าสุดก็เปิดให้ปรับแนวทางการปิดระบบป้องกันอย่างละเอียดขึ้น

Read more

พบมัลแวร์บนแมค ขโมยบัตรเครดิตจากเบราว์เซอร์, ข้อมูลล็อกอินและกระเป๋าเงินคริปโต

By nismod Writer on Tag: macOS, Malware, Cryptocurrency, Security, Palo Alto Networks
macOS

Palo Alto Network บริษัทด้านความปลอดภัยเครือข่ายประกาศการค้นพบมัลแวร์ CookieMiner ที่แพร่กระจายบน macOS เพื่อขโมยข้อมูลสำคัญที่เกี่ยวกับการเงินอย่างข้อมูลบัตรเครดิตที่เซฟไว้ในเบราว์เซอร์ ไปจนถึงข้อมูลล็อกอินหรือกุญแจกระเป๋าเงินคริปโต

Read more

รายงานเผย การดัก SMS ผ่านช่องโหว่ SS7 ยังถูกใช้เป็นช่องทางขโมยเงินอย่างต่อเนื่อง

By nismod Writer on Tag: SMS, Security
SMS

ช่องโหว่ในโปรโตคอล Signalling System No. 7 (SS7) ที่ใช้ดัก SMS มีรายงานและการสาธิตกันมาหลายปีและหลายครั้งแล้ว โดยถึงแม้ข่าวการโจมตีผ่านทาง SS7 อาจจะดูเงียบๆ แต่เว็บไซต์ Motherboard ก็ออกรายงานระบุว่ามีแฮกเกอร์ใช้วิธีนี้เยอะกว่าที่คิด และหลายธนาคารก็ตกเป็นเหยื่อแล้ว

Read more

พบธนาคาร SBI ของอินเดียไม่ล็อกรหัสเซิร์ฟเวอร์เก็บข้อมูลการเงินลูกค้า ใครรู้เข้าฐานข้อมูลได้ทันที

By nutmos Writer on Tag: Security, Banking, Data Breach, Privacy
Security

นักวิจัยความปลอดภัยได้ค้นพบเซิร์ฟเวอร์เก็บข้อมูลสำคัญของ State Bank of India หรือ SBI ธนาคารที่ใหญ่ที่สุดในอินเดียเปิดไว้ใช้งานโดยไม่มีรหัสผ่านเข้าฐานข้อมูล

เซิร์ฟเวอร์ของ SBI นี้อยู่ที่ศูนย์ข้อมูลในเมืองมุมไบ เก็บข้อมูล 2 เดือนย้อนหลังจาก SBI Quick ระบบข้อความตัวอักษรและโทรศัพท์ที่ใช้สำหรับการขอข้อมูลพื้นฐานของบัญชีธนาคารโดยลูกค้า ซึ่งตัวเซิร์ฟเวอร์ของ SBI นี้ไม่ได้ถูกล็อกรหัสผ่านไว้ ดังนั้นใครรู้แค่เพียงช่องทางเข้าก็สามารถเข้าเซิร์ฟเวอร์ไปเรียกดูข้อมูลนับล้านของลูกค้าได้ทันที

Read more
Subscribe to Security