สัปดาห์ที่ผ่านมา Citizen Lab รายงานถึงช่องโหว่ที่ใช้เจาะ iPhone ผ่านทาง iMessage ได้โดยเหยื่อไม่ต้องคลิกใดๆ ตอนนี้แอปเปิลก็พบว่าช่องโหว่นี้ที่จริงแล้วเป็นช่องโหว่ heap overflow ของ libwebp ซึ่งกระทบเบราว์เซอร์อื่นๆ ด้วย ตอนนี้ทั้ง Chrome ก็ออกแพตช์แก้ไขช่องโหว่นี้แล้ว ในเวอร์ชั่น 116.0.5845.187 และ 116.0.5845.188

แพตช์เดียวกันถูกส่งเข้า Firefox แล้ว คาดว่าจะออกเป็นเวอร์ชั่น 117.0.1 ภายในเร็วๆ นี้

Cisco ประกาศเตือนภัยช่องโหว่ในซอฟต์แวร์ Cisco Adaptive Security Appliance (ASA) และ Cisco Firepower Threat Defense (FTD) ที่เปิดให้โจมตีแบบ brute force รหัสผ่านต่อฮาร์ดแวร์ไพร์วอลล์ของ Cisco ที่ใช้ซอฟต์แวร์เหล่านี้ได้

การโจมตีจะเกิดขึ้นได้ต้องเข้าทั้ง 2 เงื่อนไขคือ มีผู้ใช้ในระบบอย่างน้อยหนึ่งรายตั้งรหัสผ่านเก็บในฐานข้อมูลโลคัล และเปิด SSL VPN ในช่องทางอินเทอร์เฟซของระบบ

นักวิจัยจากบริษัทความปลอดภัย Rapid7 รายงานว่าพบการโจมตีแบบ brute force ลักษณะนี้มาตั้งแต่เดือนมีนาคม มีองค์กรอย่างน้อย 11 แห่งโดนโจมตี รูปแบบการโจมตีมุ่งเป้าไปยังอุปกรณ์ที่ไม่ได้เปิด multi-factor authentication (MFA) เพราะ brute force สำเร็จแล้วเจาะเข้าได้เลย

Citizen Lab รายงานถึงช่องโหว่ CVE-2023-41064 และ CVE-2023-41061 เรียกชื่อรวมว่า BLASTPASS สามารถเจาะโทรศัพท์ iPhone ผ่านการยิงข้อความเข้าโทรศัพท์ทาง iMessage โดยที่เหยื่อไม่ต้องคลิกใดๆ ทาง Citizen Lab ระบุว่าช่องโหว่นี้ใช้ส่งมัลแวร์ของ NSO Group

ช่องทางเจาะระบบของ NSO Group ที่เคยพบมานั้นมีความซับซ้อนสูง และน่าจะต้องใช้ทรัพยากรพัฒนาอย่างมาก

ตอนนี้ยังไม่มีการเปิดเผยรายละเอียดช่องโหว่ ทาง Citizen Lab และแอปเปิลระบุว่าช่องโหว่ส่วนแรกเป็นช่องโหว่ของการประมวลภาพด้วย ImageIO หลังจากนั้นก็อาศัยช่องโหว่รันโค้ดใน Wallet

แอปเปิลออกแพตช์แก้ไขช่องโหว่ทั้งหมดแล้ว ใน iOS 16.6.1 และ iPadOS 16.6.1

เมื่อช่วงกลางปีที่ผ่านมาไมโครซอฟท์รายงานถึงเหตุข้อมูลรั่วไหลครั้งรุนแรงเพราะแฮกเกอร์แฮกกุญแจของ Azure AD ได้สำเร็จ ทำให้สามารถปลอมเป็นผู้ใช้คนใดก็ได้ใน Azure AD ทั้งหมดโดยไมโครซอฟท์ระบุว่ายังหาช่องทางที่กุญแจรั่วไหลไม่พบ แต่ล่าสุดก็ออกรายงานมาว่าพบช่องทางที่เป็นไปได้แล้ว

รายงานระบุว่าเซิร์ฟเวอร์ Azure AD เคยแครชไปครั้งหนึ่งเมื่อเดือนเมษายน 2021 ระบบดีบั๊กจึงส่งไฟล์ crash dump ไปยังระบบดีบั๊ก ซึ่งโดยทั่วไปแล้วไฟล์ dump ไม่ควรมีกุญแจติดไปด้วยแต่ก็มีความผิดพลาดจนกุญแจหลุดไปจนถึงระบบดีบั๊ก และวางอยู่เช่นนั้น

update: ทีมงาน PlayCyberGame ชี้แจงเพิ่มเติมว่าข้อมูลที่หลุดเป็นส่วนเว็บบอร์ด vBulletin ที่ปิดให้บริการไปแล้ว ไม่กระทบระบบหลักแต่อย่างใด

PlayCyberGame ระบบ vpn สำหรับเชื่อมต่อกับเพื่อนเพื่อเล่นเกมเป็นวง LAN เดียวกัน ทำข้อมูลลูกค้ากว่า 3.7 ล้านรายหลุดเมื่อเดือนสิงหาคมที่ผ่านมา

เว็บ Have I been pwned ระบุว่าข้อมูลที่หลุดมีทั้ง อีเมล ยูสเซอร์เนม รหัสผ่านที่แฮชด้วย MD5 และค่า salt แบบคงที่ โดยเป็นข้อมูลจากระบบ vBulletin ที่ตอนนี้ปิดบริการไปแล้ว

PlayCyberGame หรืออีกชื่อหนึ่งที่คุ้นๆ กันคือ ThaiCyberGame เคยเป็นที่รู้จักจากการให้บริการเครือข่ายเล่นเกมเสมือนเล่นผ่าน LAN กับเกม DOTA ภาคแรกบน Warcraft III

ที่มา - Have I been pwned

Damien Miller นักพัฒนาโครงการ OpenSSH ส่งโค้ดเพิ่มฟีเจอร์ ObscureKeystrokeTiming เพื่อล็อกห้วงเวลาส่งข้อมูลคีย์บอร์ด จากเดิมที่ส่งทันที ให้ส่งทุกห้วงเวลาที่กำหนด เช่น 20ms เท่านั้น นอกจากนี้ยังส่งข้อมูลคีย์ปลอมเพื่อสร้างความสับสนเพิ่มเติม

กูเกิลเพิ่มความปลอดภัยของ Gmail โดยให้ผู้ใช้งานต้องยืนยันตัวตน 2 ขั้นตอน ทุกครั้งที่มีการแก้ไขการตั้งค่า (Settings) ในส่วนที่กูเกิลมองว่าเป็นความเสี่ยงสูง ได้แก่

• Filters: สร้าง Filter, แก้ไข Filter หรือนำเข้า Filter
• Forwarding: สร้างที่อยู่ที่ส่งต่อเพิ่มเติมในส่วนการตั้งค่า Forwarding หรือ POP/IMAP
• IMAP access: เพิ่มการเข้าถึงของ IMAP (หากผู้ดูแลระบบ Workspace เปิดให้ผู้ใช้แก้ไขได้เอง)

มีรายงานช่องโหว่ระดับความร้ายแรงสูง CVE-2023-40477 ซึ่งผู้โจมตีสามารถฝังโค้ดผ่านไฟล์ RAR ที่หากเปิดด้วย WinRAR จะเข้าถึงหน่วยความจำของคอมพิวเตอร์ได้ อย่างไรก็ตามด้วยวิธีการที่ค่อนข้างเฉพาะจึงทำให้การโจมตีอาจทำได้ยาก

ทั้งนี้ RARLAB ผู้พัฒนา WinRAR ได้ออกอัพเดตซอฟต์แวร์เวอร์ชัน 6.23 ซึ่งระบุว่าแก้ไขช่องโหว่ดังกล่าวแล้ว ผู้ใช้งาน WinRAR จึงควรอัพเดตโปรแกรมทันทีเพื่อป้องกันปัญหาดังกล่าว

ไมโครซอฟท์เองก็เริ่มทดสอบการรองรับไฟล์ RAR รวมถึง 7-Zip และ GZ ใน Windows 11 จึงทำให้ความจำเป็นในการใช้โปรแกรม WinRAR โดยเฉพาะมีน้อยลงอีกด้วย

กูเกิลแสดงผลการทดลองใช้ปัญญาประดิษฐ์ในกลุ่ม Large Language Model (LLM) มาเขียนโค้ดยิงไลบรารีต่างๆ ภายใต้โครงการ OSS-Fuzz เพื่อหาช่องโหว่ซอฟต์แวร์

การทดสอบแบบ fuzzing ช่วยให้พบช่องโหว่แบบที่คนคิดไม่ถึงโดยเฉพาะช่องโหว่หน่วยความจำ ด้วยการอาศัยการยิงอินพุตแบบสุ่ม อย่างไรก็ดีโค้ดที่ใช้ทดสอบนั้นต้องเขียนด้วยมือทำให้ชุดทดสอบต่างๆ มักครอบคลุมโค้ดที่ต้องการทดสอบไม่มากนัก โดยเฉลี่ยครอบคลุมเพียง 30% เท่านั้น

ทีมงานกูเกิลเขียน prompt ให้ LLM ของกูเกิลเองเขียนโค้ดสำหรับทดสอบ หากโค้ดรันไม่ผ่านก็สามารถอ่าน error แล้วแก้ไขโค้ดใหม่ไปได้ ข้อดีสำคัญคือโค้ดที่ได้จะทดสอบส่วนต่างๆ ของโครงการโอเพนซอร์สได้เพิ่มเติม ทำให้ความครอบคลุมโดยรวมดีขึ้น

กูเกิลร่วมกับทีมวิจัยจาก ETH Zürich พัฒนาเฟิร์มแวร์กุญแจยืนยันตัวตน FIDO รุ่นพิเศษ ที่ใช้กระบวนการเข้ารหัสลับที่ทนทานต่อคอมพิวเตอร์ควอนตัม เป็นการเตรียมทางสู่การวางมาตรฐาน FIDO รุ่นต่อๆ ไปที่จะรองรับกระบวนการนี้ในอนาคต

เฟิร์มแวร์นี้มีลายเซ็นดิจิทัลยืนยันข้อมูลซ้อนกันสองชั้น คือ ECDSA แบบเดิมๆ และ Dilithium ที่ NIST เลือกเป็นมาตรฐานการเซ็นลายเซ็นดิจิทัลแบบทนทานคอมพิวเตอร์ควอนตัม ความยากในการอิมพลีเมนต์คือโค้ดทั้งหมดต้องรันด้วยแรมเพียง 20KB เท่านั้น และตัวกุญแจต้องตอบผลลัพธ์ต่างๆ ภายในเวลาที่กำหนดไว้ในมาตรฐาน

Chrome ประกาศมาตรการหลายอย่างเพื่อผลักดันการใช้ HTTPS แทน HTTP ให้เกิดขึ้นได้จริง หลังจากพบว่าทราฟฟิกเว็บ 5-10% ยังเป็น HTTP อยู่ตลอดมา ไม่ยอมอัพเกรดเป็น HTTPS สักที ซึ่งมีผลต่อความปลอดภัยของผู้ใช้

• การคลิกลิงก์เก่าที่เป็น http:// จะถูกอัพเกรดเป็น https:// โดยอัตโนมัติ หากเชื่อมต่อ https:// ไม่สำเร็จถึงค่อยกลับมาเป็น http:// แปลว่าผู้ใช้จะเข้าเว็บผ่าน HTTP ในกรณีที่ไม่มี HTTPS ให้ใช้งานเท่านั้น ไม่ได้เข้า HTTP โดยบังเอิญหรือไม่ตั้งใจ (แม้มี HTTPS ให้ใช้) อีกต่อไป
• การดาวน์โหลดไฟล์ผ่าน HTTP จะเห็นข้อความแจ้งเตือนว่าไฟล์อาจไม่ปลอดภัย การเตือนจะมีผลกับไฟล์ทุกประเภท ยกเว้นไฟล์ภาพ เสียง วิดีโอ ที่ค่อนข้างปลอดภัยในตัวเองอยู่แล้ว

กูเกิลประกาศเพิ่มฟีเจอร์ใน Android 14 เปิดให้ผู้ใช้บังคับว่าจะเชื่อมต่อกับเสาสัญญาณโทรศัพท์มือถือที่เข้ารหัสเท่านั้น หลังจากการโจมตีเสาสัญญาณโทรศัพท์ปลอม (False Base Station - FBS) ระบาดเป็นวงกว้างรวมถึงในประเทศไทย

ที่ผ่านมาการโจมตี FBS มักจะอาศัยเครือข่าย 2G แต่ที่จริงแล้วเครือข่ายรุ่นใหม่ๆ ก็สามารถเชื่อมต่อแบบไม่เข้ารหัสได้เช่นกันหากเครือข่ายคอนฟิกไว้ผิดพลาด ก่อนหน้านี้ Android มีตัวเลือกสำหรับปิดการเชื่อมต่อแบบ 2G ทั้งหมดเพื่อลดความเสี่ยง FBS

Daniel Moghimi นักวิจัยความปลอดภัยของกูเกิล ค้นพบช่องโหว่ในซีพียูอินเทลจำนวนมาก ตั้งแต่ Core 6th Gen (Skylake) มาถึง Core 11th Gen (Tiger Lake) รวมถึงซีพียูกลุ่มเซิร์ฟเวอร์ Xeon, ซีพียู Atom ที่ออกขายในช่วงเดียวกัน รายชื่อทั้งหมด

ไมโครซอฟท์ประกาศความร่วมมือกับซัมซุงประกาศรองรับ Samsung Knox ใน Microsoft Intune ทำให้องค์กรสามารถตรวจสอบความปลอดภัยของอุปกรณ์ที่จะเข้าถึงระบบต่างๆ ได้ที่ระดับฮาร์ดแวร์

ประกาศระบุว่าปกติการยืนยันความปลอดภัยอุปกรณ์อย่างโทรศัพท์มือถือต้อง enroll ทั้งเครื่องเข้าเป็นส่วนหนึ่งของเครื่องที่องค์กรจัดการอยู่ แต่เมื่อใช้งาน Samsung Knox องค์กรจะสามารถอนุญาตให้พนักงานใช้งานเครื่องส่วนตัวทำงานได้โดยไม่ต้อง enroll ทั้งเครื่อง แต่ยืนยันได้ว่าเครื่องปลอดภัยผ่านทาง Intune mobile application management (MAM)

โครงการภาษา Vyper ภาษาสำหรับพัฒนาแอปพลิเคชั่นบนบล็อคเชน มีช่องโหว่เวอร์ชั่น 0.2.15, 0.2.16, และ 0.3.0 แม้ว่าจะแก้ไขไปตั้งแต่ 2 ปีก่อนแต่โค้ด smart contract หลายตัวก็ยังใช้เวอร์ชั่นคอมไพลเลอร์เวอร์ชั่นเหล่านี้อยู่

ตอนนี้มีรายงานว่าบล็อคเชนต่างๆ ถูกโจมตีจากช่องโหว่นี้ เช่น AlchemixFi ถูกโจมตี 13 ล้านดอลลาร์, JPEG'd 11 ล้านดอลลาร์, MetronomeDAO 1.6 ล้านดอลลาร์, Ellipsis Finance 68,600 ดอลลาร์, และ Debridge Finance 24,600 ดอลลาร์

ทาง Curve Finance ระบุว่ามี pool ที่ได้รับผลกระทบ 3 pool เท่านั้น ได้แก่ alETH, msETH, และ pETH แต่ข่าวการแฮกครั้งนี้ก็ทำให้โทเค็น CRV ของ Curve Finance ราคาตกลงไป 15%

Threat Analysis Group (TAG) กลุ่มวิจัยความปลอดภัยไซเบอร์ของกูเกิล รายงานถึงการโจมตีระบบคอมพิวเตอร์ด้วยช่องโหว่ที่ยังไม่ได้แพตช์ หรือช่องโหว่ 0-day ในช่วงปีที่ผ่านมา พบการโจมตีจากช่องโหว่ 41 รายการตลอดปี 2022 ลดลง 40% จากปี 2021 แต่สภาพการณ์โดยรวมยังไม่ดีนัก เนื่องจากช่องโหว่บางตัวใช้เวลาแพตช์นาน รายงานระบุเหตุการณ์โดยรวมไว้ 4 ประเด็น ได้แก่

Tavis Ormandy นักวิจัยความปลอดภัยของกูเกิล เปิดเผยช่องโหว่ Zenbleed ของซีพียูตระกูล AMD Zen 2 ทุกรุ่น ตั้งแต่ Ryzen, Ryzen Pro, Threadripper, EPYC (ในข่าวไม่ได้ระบุถึงแต่มีโอกาสโดนด้วยคือ PS5, Xbox Series และ Steam Deck ที่เป็นแกน Zen 2 ทั้งหมด)

VirusTotal เป็นบริการสำหรับตรวจสอบไฟล์และ URL ที่อาจเป็นอันตราย โดยผู้ใช้สามารถส่งค่า hash ของไฟล์ต้องสงสัยขึ้นไปตรวจสอบ หรือจะอัปโหลดตัวไฟล์ขึ้นไปเพื่อวิเคราะห์ก็ได้ โดยไฟล์ที่ถูกอัปโหลดขึ้นไปจะมีการแชร์ให้กับบริษัทแอนติไวรัสหรือนักวิเคราะห์ที่สมัครบริการ VirusTotal แบบ Premium ทำให้หนึ่งในข้อควรตระหนักในการใช้งาน VirusTotal คือไม่ควรอัปโหลดไฟล์ที่มีข้อมูลสำคัญที่เป็นความลับ เนื่องจากอาจส่งผลให้ข้อมูลรั่วไหลได้

กูเกิลประกาศเตรียมใช้โปรโตคอล Message Layer Security (MLS) หรือ RFC9420 ที่เพิ่งออกมาตรฐานตัวจริงเมื่อต้นปีที่ผ่านมา โดยจะใช้งานในแอป Google Messages เพื่อการเข้ารหัสแบบ end-to-end

การใช้โปรโตคอล MLS เปิดโอกาสให้แอปต่างๆ ที่รันบน MLS เหมือนกันสามารถส่งข้อความข้ามแอปกันโดยตัวข้อความยังเข้ารหัส end-to-end อยู่ไม่ต้องถอดรหัสออกมาแปลงโปรโตคอลก่อน ตัวโปรโตคอลรองรับการส่งข้อมูลเป็นกลุ่มระดับหลายพันคน และยังรองรับกระบวนการเข้ารหัสที่ทนทานต่อคอมพิวเตอร์ควอนตัม

รัฐบาลสหรัฐอเมริกา นำโดยประธานาธิบดีไบเดน เปิดตัวตราสัญลักษณ์รูปโล่ U.S. Cyber Trust Mark เพื่อบ่งชี้ว่าอุปกรณ์ IoT มีความปลอดภัยไซเบอร์มากเพียงพอ ไม่กลายเป็นช่องโหว่ให้ถูกโจมตี

โครงการตราสัญลักษณ์ U.S. Cyber Trust Mark ริเริ่มโดย FCC หรือ กสทช. สหรัฐ จะใช้งานกับอุปกรณ์ทุกรูปแบบที่เชื่อมต่อเครือข่าย เช่น สมาร์ททีวี, ตู้เย็นอัจฉริยะ, เตาไมโครเวฟ, ฟิตเนสแทร็คเกอร์, สมาร์ทมิเตอร์ ฯลฯ โดยมีแบรนด์สินค้าบางราย เช่น Amazon, Best Buy, Google, LG, Logitech, Samsung Electronics ประกาศเข้าร่วมโครงการแล้ว โครงการจะเริ่มดำเนินการจริงในปีหน้า 2024

แบรนด์ที่จะได้ตราสัญลักษณ์ U.S. Cyber Trust Mark จำเป็นต้องผ่านเกณฑ์ด้านความปลอดภัยที่กำหนดโดย National Institute of Standards and Technology (NIST) ซึ่งยังไม่เปิดเผยรายละเอียดในตอนนี้

ไมโครซอฟท์ประกาศข่าวว่าลูกค้าทุกรายจะสามารถใช้บริการเก็บล็อก (cloud logging) ที่ปัจจุบันอยู่ใต้แบรนด์ Microsoft Purview Audit ได้ฟรี เพื่อยกระดับความปลอดภัยของลูกค้าองค์กรที่ใช้คลาวด์

ประกาศนี้เป็นผลต่อเนื่องจากกรณี ไมโครซอฟท์ถูกแฮกกุญแจเซ็นโทเค็น Azure AD แฮกเกอร์เข้าดาวน์โหลดเมลรัฐบาลสหรัฐฯ สำเร็จ ทำให้ไมโครซอฟท์ได้รับแรงกดดันจากหน่วยงานภาครัฐของสหรัฐ โดยเฉพาะ Cybersecurity and Infrastructure Security Agency (CISA) ให้เปิดฟีเจอร์ด้าน cloud logging แก่ลูกค้าในวงกว้างมากขึ้น เพื่อให้สามารถตรวจสอบการแฮ็กได้เร็วขึ้น

Kevin David Mitnick แฮกเกอร์ชื่อดัง ที่เคยแฮกบริษัทใหญ่ๆ ในช่วงปี 1979-1995 เสียชีวิตด้วยโรคมะเร็งตับอ่อน เมื่อวันที่ 16 กรกฎาคมที่ผ่านมาด้วยวัย 59 ปี หลังจากป่วยอยู่นาน 14 เดือน

Mitnick เคยแฮกเข้าระบบคอมพิวเตอร์ของบริษัท Digital Equipment Corporation (DEC) เพื่อเข้าไปดาวน์โหลดซอฟต์แวร์จนถูกจับ จากนั้นเขาก็แฮกบริษัทโทรศัพท์ ปลอมแปลงหมายเลขโทรศัพท์เพื่อซ่อนตัว ตัว Mitnick มีชื่อเสียงขึ้นมา จากหนังสือของ Tsutomu Shimomura แม้ว่าภายหลัง Mitnick จะออกมาตอบโต้เนื้อหาในหนังสือว่าไม่จริงหลายส่วน

หลังจากรับโทษ Mitnick ทำงานให้คำปรึกษาด้านความปลอดภัยคอมพิวเตอร์ และเปิดบริษัทที่ปรึกษาของตัวเอง

TikTok ประกาศเข้าร่วมเป็นสมาชิก FIDO Alliance พร้อมประกาศการล็อกอินแบบไม่ต้องใช้รหัสผ่านด้วย Passkey โดยเริ่มจากบน iOS ก่อน

ส่วนการเปิดการใช้งาน Passkey ให้ไปที่โปรไฟล์ล่างขวา เลือก Menu แถบขวาบน เลือก Settings and Privacy (การตั้งค่าและความเป็นส่วนตัว) เลือก Account (บัญชี) แล้วเลือก iCloud Passkey (พาสคีย์ iCloud) เป็นอันเรียบร้อย

ที่มา - TikTok

ไมโครซอฟท์ออกรายงานถึงกลุ่มแฮกเกอร์ Storm-0558 ที่โจมตีจากประเทศจีนโดยมีแนวทางมุ่งขโมยข้อมูล โดยคนร้ายสามารถขโมยกุญแจเซ็นโทเค็นของ Azure AD ออกไปจากไมโครซอฟท์ได้ ทำให้สามารถเซ็นโทเค็นปลอมตัวเป็นบัญชีผู้ใช้อะไรก็ได้ของเหยื่อ

หน่วยงานที่ถูกโจมตีคือฝ่ายบริหารฝั่งพลเรือนของรัฐบาลกลางสหรัฐฯ (Federal Civilian Executive Branch - FCEB) โดยพบล็อกใน Microsoft 365 ว่ามีรายงาน MailItemsAccessed ซึ่งเป็นการเข้าอ่านเมลจากไคลเอนต์ต่างๆ แต่ที่แปลกออกไปคือค่า AppID นั้นไม่เคยพบ แปลว่าอยู่ๆ ก็มีคนใช้อีเมลไคลเอนต์ประหลาดเข้ามาอ่านอีเมล

All-In-One Security (AIOS) ปลั๊กอินด้านความปลอดภัยของ WordPress ออกอัพเดตเวอร์ชันล่าสุด 5.2.0 ระบุว่าแก้ไขบั๊กสำคัญในเวอร์ชันก่อนหน้า 5.1.9 โดยพบว่ามีการเก็บ log ในฐานข้อมูล เมื่อมีคนล็อกอินเข้าเว็บไซต์ ส่วนของรหัสผ่านเป็น plaintext ซึ่งผู้ใช้งานสิทธิระดับ Admin เท่านั้นที่เข้าถึง log นี้ได้ แต่ถือเป็นความเสี่ยงสูงด้านความปลอดภัย

Log Table ของฐานข้อมูล ที่เก็บรายละเอียดนี้คือ aiowps_audit_log ซึ่งเก็บข้อมูลกิจกรรมการล็อกอิน-ล็อกเอาท์ รวมทั้งการล็อกอินทีไม่สำเร็จ แต่เวอร์ชัน 5.1.9 พบว่าบันทึกข้อมูลรหัสผ่านที่กรอกเข้ามาด้วย