แพตช์ความปลอดภัย Pixel/Nexus ธันวาคม 2018 - Nexus 5X/6P ก็ยังได้

By tekkasit Contributor on Tag: Android Pie, Android Oreo, Security, Google Pixel, Google Nexus, Android
Android Pie

วันนี้กูเกิลออกแพตช์ความปลอดภัย Android ประจำเดือนธันวาคม 2018 แพตช์รอบนี้เป็นแบบตามปกติมี 2 ชุด ได้แก่ชุด 1 ธ.ค. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน ชุด 5 ธ.ค. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 ธ.ค. มาด้วย)

แพตช์ 1 ธ.ค. แก้ช่องโหว่ด้านความปลอดภัย 17 จุด (CVE) เป็นระดับร้ายแรง (critical) 6 จุด เป็นเรื่องของ Mediaserver เจ้าเก่าทั้ง 4 จุด ส่วนแพตช์ 5 ธ.ค. แก้เพิ่มอีก 36 จุด ส่วนมากเป็นเรื่องช่องโหว่บนไดรเวอร์ของผู้ผลิตอย่าง Qualcomm โดยเป็นช่องโหว่ระดับร้ายแรงถึง 5 จุด

Read more

เยอรมนีออกร่างความปลอดภัยของเราเตอร์ในบ้าน

By willwill on Tag: Router, Security
Router

จากปัญหาความปลอดภัยเมื่อปี 2016 ทำให้ทางการเยอรมนีได้ออกร่างกฎความปลอดภัยเราเตอร์สำหรับเราเตอร์ประเภทที่ใช้ในออฟฟิศขนาดเล็กและโฮมออฟฟิศ (SOHO) โดยอุปกรณ์ที่ทำตามกฎนี้จะสามารถแสดงสติกเกอร์บนผลิตภัณฑ์ได้ แต่ไม่มีการบังคับให้ตรวจแต่อย่างใด

ตัวอย่างข้อกำหนดในร่างนี้ เช่น ห้ามชื่อไวไฟตั้งต้น (ESSID) เกี่ยวข้องกับข้อมูลจากเราเตอร์ (เช่นตั้งเป็นชื่อผู้ผลิต รุ่น หรือแมคแอดเดรส), ถ้าต้องการให้ควบคุมเราเตอร์ผ่านอินเทอร์เน็ตได้ จะต้องใช้ HTTPS, มีการป้องกัน brute force login, มีการใช้ CSRF token, ห้ามมีบัญชีลับ (backdoor), มีการแจ้งหากเฟิร์มแวร์เก่าหรือหมดอายุ

Read more

งานวิจัยยกระดับการโจมตีชิปแรม Rowhammer, แก้ไขค่าแรมในเซิร์ฟเวอร์ได้ แม้เป็นแรม ECC

By lew Founder on Tag: Security
Security

งานวิจัย Rowhammer เป็นการโจมตีที่ชิปแรมของเครื่องเหยื่อ ด้วยการยิงคำสั่งเฉพาะ ทำให้ซอฟต์แวร์สามารถเปลี่ยนค่าแรมตำแหน่ง "ข้างๆ" ของหน่วยความจำที่ตัวซอฟต์แวร์ใช้งานอยู่ โดยก่อนหน้านี้เชื่อกันว่าการโจมตีแบบนี้ไม่สามารถโจมตีเซิร์ฟเวอร์ที่ใช้แรม ECC ที่ป้องกันการแก้ไขค่า แต่งานวิจัยล่าสุดก็สาธิตการโจมตีได้สำเร็จแม้จะซับซ้อนขึ้น

Read more

แพ็กเกจยอดนิยมใน npm ถูกแฮกเกอร์ขอเป็นผู้ดูแล แอบใส่โค้ดขโมยเงินคริปโต

By lew Founder on Tag: NPM, Security
NPM

แพ็กเกจ event-stream ใน npm ย้ายเจ้าของจากผู้ดูแลเดิมมาสู่ผู้ใช้ GitHub ที่ชื่อว่า right9ctrl และออกเวอร์ชั่นใหม่เมื่อไม่กี่วันที่ผ่านมา และพบว่าโค้ดที่เพิ่มเข้ามามีโค้ดมุ่งร้าย น่าจะใช้ขโมยเงินคริปโต

แพ็กเกจ event-stream มีจำนวนดาวน์โหลดเกือบสองล้านครั้งต่อสัปดาห์ โดย dominictarr ผู้ดูแลเดิมระบุว่าเขาไม่ได้ใช้โครงการนี้มานานแล้ว เมื่อ right9ctrl เข้ามาขอดูแลโครงการต่อจึงยกให้ไป

เวอร์ชั่นของแพ็กเกจที่ได้รับผลกระทบคือเวอร์ชั่น 3.3.6 ผู้ใช้ทุกคนควรตรวจสอบว่ามีโค้ดรันอยู่หรือไม่ ตอนนี้โค้ดถูกถอดออกจาก npm เรียบร้อยแล้วแต่อาจจะเหลืออยู่ในแคชของเครื่องผู้ใช้

Read more

พบแอพจาก Cheetah Mobile เจ้าของ Clean Master แอบปลอมข้อมูลผู้ใช้ไปคลิกโฆษณา

By mk Founder on Tag: Mobile App, Security, Privacy, Cheetah Mobile
Mobile App

Kochava บริษัทวิเคราะห์ข้อมูลแอพมือถือ ค้นพบว่าแอพชื่อดังจากบริษัทจีน Cheetah Mobile เจ้าของแอพหลายตัวอย่าง Clean Master, CM Launcher, Security Master, Speed Booster, PhotoGrid, Cheetah Keyboard, CM File Manager มีพฤติกรรมการโกงทราฟฟิกโฆษณาภายในแอพของตัวเอง

การกระทำแบบนี้เรียกว่า ad fraud เป็นการจำลองการคลิกโฆษณาของผู้ใช้งาน โดยที่ผู้ใช้ไม่ได้คลิกโฆษณาจริงๆ (click flooding หรือ click injection) ทำให้นักพัฒนาแอพมีรายได้จากส่วนแบ่งโฆษณาเพิ่มขึ้น ในแง่ของผู้ใช้งานอาจได้รับผลกระทบจากการซื้อสินค้าไม่พึงประสงค์บางอย่าง หรือถูกตัดเงินโดยไม่รู้ตัว

Read more

พบช่องโหว่ API อ่านจดหมายของไปรษณีย์สหรัฐฯ ใช้สัญลักษณ์ wildcard ดึงข้อมูลคนอื่นได้

By nutmos Writer on Tag: USPS, Security, Data Breach
USPS

USPS หรือไปรษณีย์สหรัฐฯ​ มีบริการ API สำหรับอำนวยความสะดวกให้ผู้ใช้บริการที่รับจดหมายจากไปรษณีย์ แต่มีนักวิจัยค้นพบว่า API นี้มีช่องโหว่ที่เปิดให้ใครก็ได้ค้นข้อมูลของคนอื่นได้โดยใช้สัญลักษณ์ wildcard

API ที่เป็นปัญหาของ USPS ชื่อว่า InformedDelivery เป็นเครื่องมือให้ผู้ใช้อ่านจดหมายก่อนจะมาส่งถึงบ้าน และให้ API นี้เชื่อมต่อจดหมายเข้ากับบริการบางอย่างได้ด้วย แต่มีนักวิจัยความปลอดภัยที่ไม่เปิดเผยตัวตนค้นพบว่า API นี้เปิดให้ผู้ใช้สามารถค้นหาข้อมูลโดยใช้สัญลักษณ์ wildcard ซึ่งจะทำให้ผู้ใช้เห็นข้อมูลของคนอื่นด้วย โดยจากการทดลองพบว่าสามารถดึงข้อมูลได้นับล้าน record

Read more

แอคเคาท์ไมโครซอฟท์รองรับการล็อกอินด้วยคีย์ FIDO และ Windows Hello แล้ว

By nismod Writer on Tag: Microsoft, Security, FIDO, Windows 10, Windows Hello
Microsoft

ไมโครซอฟท์ประกาศว่าแอคเคาท์ไมโครซอฟท์รองรับการล็อกอินด้วยคีย์ FIDO2 และ Windows Hello แล้ว โดยจะใช้ได้เฉพาะบน Windows 10 (October 2018) ขึ้นไปและเฉพาะบน Microsoft Edge เท่านั้น

การตั้งค่าต้องเข้าไปที่หน้าแอคเคาท์ไมโครซอฟท์ เลือก Security และ More Security Options แล้วกด Windows Hello and Security Keys เพื่อตั้งค่า

ที่มา - Microsoft

Read more

แอปเปิลยืนยันชิป T2 ทำให้ต้องนำเครื่องไปซ่อมกับแอปเปิลและตัวแทนเท่านั้น

By nismod Writer on Tag: Apple, Security
Apple

งานเปิดตัวผลิตภัณฑ์ใหม่ของแอปเปิลเมื่อเดือนที่แล้วมาพร้อมกับชิปความปลอดภัย T2 ที่ไม่เพียงดูแลเรื่อง Touch ID หรือการเข้ารหัสข้อมูลในเครื่องเท่านั้น แต่ยังตรวจสอบฮาร์ดแวร์ในเครื่องหลังการซ่อม ว่ามาจากแอปเปิลหรือตัวแทนที่ได้รับการรับรองหรือไม่ด้วย

แอปเปิลยืนยันประเด็นนี้กับ The Verge ระบุว่ามีผลกับอุปกรณ์แมครุ่นใหม่ๆ และกับชิ้นส่วนบางชิ้นอย่างโลจิคบอร์ดหรือ Touch ID แต่ก็ไม่ได้เปิดเผยข้อมูลชิ้นส่วนอื่นๆ ว่าเข้าข่ายแค่ไหน ขณะที่การทำงานของชิปคือจะตรวจสอบว่าชิ้นส่วนที่ถูกเปลี่ยนมานั้น ผ่านการรันด้วยซอฟต์แวร์ Apple Service Toolkit 2 ที่มีเฉพาะแอปเปิลและตัวแทนที่ได้รับการรับรองเท่านั้น

Read more

บริษัทสื่อสารในแคลิฟอร์เนียเปิดฐานข้อมูล Elasticsearch ออกสู่สาธารณะ ใช้ดู SMS ได้เกือบเรียลไทม์

By nutmos Writer on Tag: Security, Data Breach, SMS, Telecom
Security

บริษัท Voxox ผู้ให้บริการสื่อสารที่มีสำนักงานอยู่ในรัฐแคลิฟอร์เนียถูกค้นพบว่าไม่ได้ล็อกรหัสผ่านเซิร์ฟเวอร์ฐานข้อมูลไว้ เปิดให้ใครก็ได้เข้าใช้งานและเก็บข้อความ SMS ได้ทันทีในระดับเกือบเรียลไทม์

Sébastien Kaul นักวิจัยความปลอดภัยระบุว่า เขาพบเซิร์ฟเวอร์นี้จาก Shodan เสิร์ชเอนจินที่ค้นหาฐานข้อมูลและอุปกรณ์ที่เข้าถึงได้จากสาธารณะ และเซิร์ฟเวอร์นี้ถูกผูกเข้ากับซับโดเมนของ Voxox ด้วย

Read more

Mozilla จัดอันดับของขวัญอุปกรณ์อัจฉริยะที่ถูกใจผู้รับ แต่อาจไม่ปลอดภัยต่อข้อมูลส่วนตัว

By sunnywalker Writer on Tag: Mozilla, Security, Privacy
Mozilla

ในยุคนี้ อุปกรณ์ไอทีกลายเป็นของขวัญสำคัญในช่วงเทศกาล ไม่ว่าจะเป็นอุปกรณ์อัจฉริยะ เครื่องเกม ที่ผู้รับจะรู้สึกยินดีที่ได้ ล่าสุด Mozilla ทำการจัดอันดับไอเดียของขวัญที่เป็น gadget อุปกรณ์ไอที 70 ชิ้น ที่ถูกใจผู้รับ แต่ก็เก็บรวบรวมข้อมูลของผู้ใช้ไปมากเช่นกัน

ผู้อ่านสามารถเข้าไปลองดูในเว็บไซต์และกดดูอุปกรณ์แต่ละชิ้นว่าอยู่ในระดับไหน พอรับได้ไหมเรื่องความปลอดภัย มีโอกาสมากเท่าไรที่เราจะถูกสอดแนม ล้วงข้อมูลจากอุปกรณ์ชิ้นนี้ และสามารถถูกขโมยข้อมูลได้จากทางไหนบ้าง เช่น กล้อง ไมโครโฟน พิกัดสถานที่ เป็นต้น และจะมีระบุด้วยว่าอุปกรณ์ชิ้นนี้มีการเข้ารหัสหรือไม่ แชร์ข้อมูลให้ภายนอกหรือไม่ ผู้อ่านยังสามารถไปโหวตได้ว่า เมื่อได้รู้รายละเอียดเรื่องความปลอดภัยแล้ว จะให้คะแนนความปลอดภัยในระดับไหน

Read more

Mozilla เพิ่มฟีเจอร์แจ้งเตือนหากเข้าเว็บไซต์ที่มีประวัติข้อมูลรั่วบน Firefox

By nutmos Writer on Tag: Mozilla, Firefox, Security, Data Breach
Mozilla

Mozilla ประกาศอัพเดตฟีเจอร์ใหม่เพิ่มให้ Firefox Monitor ระบบแจ้งเตือนผู้ใช้หากเว็บไซต์มีการรั่วไหลของข้อมูล โดยเพิ่มให้ Firefox Monitor รองรับอีกหลายภาษา และเพิ่มระบบแจ้งเตือน Firefox Monitor ให้แจ้งเตือนผู้ใช้ผ่านเบราว์เซอร์ Firefox ได้เลย

Read more

ผู้ใช้งาน Apple ID บางส่วนถูกล็อกบัญชี และบังคับให้เปลี่ยนรหัสผ่านใหม่

By nuttdam Contributor on Tag: Apple, Security
Apple

มีผู้ใช้ Apple ID บางส่วนประสบปัญหาบัญชีถูกล็อก และบังคับเปลี่ยนรหัสใหม่โดยไม่มีสาเหตุ

ปกติแล้ว ระบบนี้จะทำงานเมื่อมีปัจจัยที่ส่งผลต่อความปลอดภัยของบัญชี เช่น มีคนพยายามล็อกอินเข้าไปยังบัญชีโดยใช้รหัสที่ผิดเป็นจำนวนหลายๆ ครั้ง เมื่อบัญชีถูกล็อกแล้ว ผู้ใช้ต้องใส่รหัสหรือเปลี่ยนรหัสใหม่ หากไม่ทำจะไม่สามารถใช้งาน iMessage, iCloud และ Apple Music ได้

Read more

แอป PayMe ของธนาคาร HSBC รีเซ็ตรหัสด้วยอีเมลอย่างเดียวได้ คนร้ายยึดอีเมลขโมยเงินเหยื่อ 20 ราย

By lew Founder on Tag: Hong Kong, Banking, Phishing, Security, HSBC
Hong Kong

PayMe บริการ e-Wallet ของธนาคาร HSBC ในฮ่องกงถูกโจมตีจากอาชญากรด้วยการหลอกเหยื่อเอารหัสอีเมล เพื่อรีเซ็ตรหัสผ่านตัวแอป และสั่งโอนเงินออกไปจากเหยื่อประมาณ 20 ราย รวมมูลค่าความเสียหาย 100,000 ดอลลาร์ฮ่องกง

เหยื่อเหล่านี้ถูกอีเมล phishing หลอกถามรหัสผ่าน แต่ตัวแอปเองกลับไม่ได้ป้องกันเงินด้วยการล็อกอินสองขั้นตอน แต่ต้องการเพียงรหัสผ่านที่รีเซ็ตด้วยอีเมลได้

Read more

กูเกิลรายงานอัตราการติดตั้งแอปอันตรายรายไตรมาส อินโดนีเซียและอินเดียเสี่ยงหนักสุด

By lew Founder on Tag: Android, Security
Android

กูเกิลรายงานถึงอัตราการติดตั้งแอปพลิเคชั่นที่อาจจะมีอันตราย (Potentially Harmful Applications - PHA) โดยระบุว่าหลังจากนี้จะรวมเข้าเป็นส่วนหนึ่งของรายงานความโปร่งใสของกูเกิล

รายงานแสดงให้เห็นว่าการติดตั้งแอปผ่าน Google Play นั้นเสี่ยงน้อยกว่าการโหลดแอพเองประมาณ 9 เท่าตัว และผู้ใช้แอนดรอยด์เวอร์ชั่นใหม่ๆ ก็เสี่ยงติดตั้งแอป PHA น้อยกว่ามาก และเมื่อแยกอัตราการติดตั้งแอปอันตรายเหล่านี้ สามประเทศแรกที่อัตราการติดตั้งสูงสุดคือ อินโดนีเซีย, อินเดีย, และสหรัฐฯ

Read more

ไมโครซอฟท์รับทราบช่องโหว่ SSD เข้ารหัส, ออกคำแนะนำวิธีกลับไปใช้ซอฟต์แวร์

By lew Founder on Tag: Microsoft, SSD, Security
Microsoft

ไมโครซอฟท์ออกเอกสารคำแนะนำความมั่นคงปลอดภัย ADV180028 แนะนำกระบวนการปิดการเข้ารหัสด้วยเฟิร์มแวร์ของผู้ผลิต SSD และหันมาใช้ซอฟต์แวร์ของ BitLocker เองโดยตรง หลังจากเมื่อวานนี้มีรายงานถึงช่องโหว่ของกระบวนการเข้ารหัสบนเฟิร์มแวร์ผู้ผลิต SSD

กระบวนการ ให้คอนฟิก Group Policy เพื่อบังคับใช้ซอฟต์แวร์เข้ารหัสเท่านั้น, จากนั้นปิดการเข้ารหัส, และสั่งเปิด BitLocker ใหม่อีกครั้ง ดิสก์ก็เข้ารหัสด้วยซอฟต์แวร์ของ BitLocker โดยตรง ไม่ได้ใช้เฟิร์มแวร์ดิสก์อีกต่อไป

เอกสารย้ำว่าผู้ใช้ไม่ต้องฟอร์แมตดิสก์ใหม่แต่อย่างใด

Read more

งานวิจัยพบกระบวนการเข้ารหัสดิสก์ที่ฝังมากับ SSD มักอ่อนแอ พา BitLocker มีช่องโหว่ไปด้วย

By lew Founder on Tag: SSD, Cryptography, Security
SSD

SSD รุ่นสูงๆ หลายรุ่นมักโฆษณาว่ามีความสามารถเข้ารหัสดิสก์ในตัว แต่งานวิจัยล่าสุดจากทีมวิจัย มหาวิทยาลัย Radboud ในเนเธอร์แลนด์ พบว่ากระบวนการเข้ารหัสจากผู้ผลิตดิสก์มักมีอ่อนแอ แฮกเกอร์สามารถกู้กุญแจเข้ารหัสได้โดยง่าย

ทีมงานทดสอบ SSD จำนวน 7 รุ่นจาก Crucial และ Samsung พบว่ามีช่องโหว่จำนวนมาก ดิสก์บางรุ่นไม่ได้เข้ารหัสกุญแจถอดรหัสดิสก์ด้วยรหัสผ่าน เมื่อนักวิจัยรีเซ็ตรหัสผ่านของเฟิร์มแวร์ก็สามารถถอดรหัสดิสก์ได้ทันที

Read more

แพตช์ความปลอดภัย Pixel/Nexus พฤศจิกายน 2018 - รุ่นสุดท้ายของ Nexus 5X/6P, Pixel C

By tekkasit Contributor on Tag: Android Pie, Android Oreo, Security, Google Pixel, Google Nexus, Android
Android Pie

วันนี้กูเกิลออกแพตช์ความปลอดภัย Android ประจำเดือนพฤศจิกายน 2018 แพตช์รอบนี้เป็นแบบตามปกติมี 2 ชุด ได้แก่ชุด 1 พ.ย. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน ชุด 5 พ.ย. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 พ.ย. มาด้วย)

แพตช์ 1 พ.ย. แก้ช่องโหว่ด้านความปลอดภัย 17 จุด (CVE) เป็นระดับร้ายแรง (critical) 4 จุด เป็นเรื่องของ Mediaserver เจ้าเก่าทั้ง 4 จุด ส่วนแพตช์ 5 พ.ย. แก้เพิ่มอีก 19 จุด เกือบทั้งหมดเป็นเรื่องช่องโหว่บนไดรเวอร์ของผู้ผลิตอย่าง Qualcomm เกือบทั้งหมด เป็นช่องโหว่ระดับร้ายแรงถึง 3 จุด

Read more

พบบั๊กบน Windows 10 ให้แอป UWP เข้าถึงไฟล์ทั้งหมดในเครื่องโดยไม่ขอ แก้ไขแล้วในอัพเดตเดือนตุลาคม

By nismod Writer on Tag: Windows 10, Security, UWP
Windows 10

Sébastien Lachance นักพัฒนาแอปสายวินโดวส์รายหนึ่งได้พบบั๊กบน Windows 10 ที่กระทบทุกเวอร์ชันก่อน Build 1809 เปิดช่องให้แอป UWP ที่ขอสิทธิ broadFileSystemAccess สามารถเข้าถึงไฟล์ทั้งหมดในเครื่องได้เลย โดยไม่ขึ้นหน้าให้ผู้ใช้กดอนุญาตก่อน

Read more

Chrome 71 จะบล็อคโฆษณาทั้งหมดของเว็บไซต์ หากถูกขึ้นบัญชีดำว่าหลอกคลิกโฆษณา

By mk Founder on Tag: Chrome, Google, Security, Browser, Advertising
Chrome

กูเกิลประกาศว่า Chrome 71 ที่มีกำหนดออกในเดือนธันวาคม 2018 จะบล็อคโฆษณาของเว็บไซต์ที่ถูกขึ้นบัญชีดำว่าเป็นเว็บไซต์ที่สร้างประสบการณ์ไม่ดีแก่ผู้ใช้ (กูเกิลใช้คำว่า abusive experience)

เว็บไซต์ที่เข้าข่าย abusive experience คือพยายามล่อให้ผู้ใช้กดโฆษณาบนเว็บไซต์ด้วยวิธีการต่างๆ ทั้งแบนเนอร์ ป๊อปอัพ วิดีโอ หรือหลอกให้ดาวน์โหลดแอพบนมือถือ ตัวอย่างเทคนิคที่ใช้งาน เช่น ปุ่ม x ปิดโฆษณาที่ไม่ได้ปิดโฆษณาจริงๆ หรือแบนเนอร์ที่หน้าตาเหมือนข้อความแจ้งเตือนของ OS

Read more

ผู้สร้างมัลแวร์ Mirai ที่ทำ Dyn ล่มในปี 2016 ถูกตัดสินคุมตัวในบ้าน 6 เดือน ปรับ 280 ล้านบาท

By lew Founder on Tag: Crime, Security, Internet of Things
Crime

คดีมัลแวร์ Mirai ที่ติดไปตามอุปกรณ์ IoT จำนวนมาก จนสามารถยิง DDoS ให้เว็บใดๆ ล่มได้ และสามารถล่มบริการ DynDNS ได้ในปี 2016 ตอนนี้คดีสิ้นสุดลงแล้ว เมื่อศาลนิวเจอร์ซีย์กำหนดโทษให้ Paras Jha ให้ถูกกุมขังในบ้านนาน 6 เดือน ปรับ 8.6 ล้านดอลลาร์หรือ 280 ล้านบาท คุมความประพฤติ 5 ปี และทำงานบริการสังคมอีก 2,500 ชั่วโมง

Jha สารภาพเมื่อปลายปี 2017 ว่าร่วมกับ Dalton Norman สร้างมัลแวร์ Mirai และเผยแพร่มัลแวร์ติดเราท์เตอร์และอุปกรณ์ IoT ได้กว่า 100,000 เครื่อง นอกจากจะใช้ยิง DDoS แล้ว ยังใช้คลิกลิงก์หาค่าโฆษณา

Read more
Subscribe to Security