Google ออกรายงานการเข้ารหัสอีเมล โดยบอกว่าอีเมลขาเข้ามายังเซิร์ฟเวอร์ของ Google นั้นมีการเข้ารหัสเพิ่มขึ้น 25%
ก่อนหน้านี้ Google ได้ออกนโยบายว่า ถ้าอีเมลที่เข้ามาไม่มีการเข้ารหัสจะถูก Gmail ทำการ flag ไว้ ซึ่งจะทำให้ผู้ใช้ทราบสถานะการเข้ารหัสของอีเมล โดยนโยบายนี้ทำให้ผู้ให้บริการอีเมลหลายรายต้องเข้ารหัสเพื่อป้องกันการโดน flag รวมถึงผู้ใช้หลายคนก็เริ่มที่จะเลือกใช้ผู้ให้บริการอีเมลที่มีการเข้ารหัสแล้ว ทำให้สถิติอีเมลในขาเข้าของ Google มีการเข้ารหัสเพิ่มขึ้น
สำนักข่าวบีบีซีของสหราชอาณาจักร รายงานว่าระบบสารสนเทศอิเล็กทรอนิกส์ของโรงพยาบาล 3 แห่งในสหรัฐอเมริกาฯ ถูกโจมตีจาก ransomware ทำให้ระบบถูกเข้ารหัสทั้งหมด แต่สามารถแก้ไขและเรียกคืนระบบทั้งหมดกลับมาได้ โดยไม่มีการระบุว่าในท้ายที่สุดทางโรงพยาบาลทั้งสามแห่งได้จ่ายเงินเพื่อปลดล็อกข้อมูลหรือไม่ และสำนักงานหน่วยสอบสวนกลางของสหรัฐ (FBI) ได้เริ่มเข้ามาสอบสวนหาสาเหตุแล้ว
หลังจากที่กระทรวงยุติธรรมของสหรัฐฯ ยื่นต่อศาลเพื่อเลื่อนการพิจารณาคำร้องที่จะบังคับให้ Apple ปลดล็อก iPhone ของกลางในคดีที่เมือง San Bernardino ออกไป พร้อมกับระบุว่ากำลังทำงานร่วมกับฝ่ายอื่นที่ไม่เกี่ยวข้องกับคดี (outsider party) เพื่อเข้าถึงข้อมูลเครื่อง ทำให้เกิดข้อสงสัยว่าตกลงแล้วใครคือคนที่ FBI กำลังทำงานด้วย วันนี้สำนักข่าว Reuters ออกมารายงานข่าวลือว่าเป็นบริษัทด้านความปลอดภัยจากอิสราเอล
Yahoo! เริ่มเปิดบริการ Yahoo Account Key ที่ฝังไปกับแอป Yahoo Finance, Fantasy, Mail, Messenger, และ Sport เมื่อผู้ใช้พยายามล็อกอินเว็บบนเดสก์ทอปแทนที่จะต้องใส่รหัสผ่านตามปกติ แอปเหล่านี้จะส่ง notification ขึ้นมาถามยืนยันว่าต้องการล็อกอินจริงหรือไม่ หากกด "Yes" ก็จะล็อกอินทันที
แนวทางของ Yahoo! ระบุว่าจะ "ฆ่า" รหัสผ่านให้หมดไปและจะหาทางใหม่ๆ ที่ให้ผู้ใช้ล็อกอินได้สะดวกโดยไม่ลดความปลอดภัยลง
แนวทางนี้น่าจะตรงกับ FIDO UAF (Universal Authentication Framework) ที่สนับสนุนโดยกูเกิล แต่กระบวนการ UAF เป็นมาตรฐานเปิดและต้องการกระบวนการยืนยันตัวตนผู้ใช้ซ้ำ
เว็บไซต์สำนักข่าว Bloomberg เผยแพร่รายงานพิเศษปัญหาความสัมพันธ์ระหว่าง FBI และ Apple โดยระบุว่าทั้งสองฝ่ายเคยมีความสัมพันธ์ที่ดีต่อกันมาโดยตลอด และยังทำงานร่วมกันอย่างใกล้ชิด จนกระทั่งหลังจากที่ Apple ออก iOS 8 มา ทำให้ความสัมพันธ์ทั้งหมดแย่ลง และมาประทุขึ้นเมื่อมีกรณีกราดยิงที่เมือง San Bernardino
รายงานระบุว่า Apple ทำงานร่วมกันหน่วยงานของรัฐบาลกลางสหรัฐมาโดยตลอด โดยเฉพาะในฝั่งของ Apple ที่เข้าหาประธานาธิบดีและเครือข่ายของประธานาธิบดี เพื่อผลักดันแนวทางและวาระของตัวเองเสมอ ตัวอย่างเช่นการกดดันทางการจีนไม่ให้บังคับ Apple สร้างกุญแจแม่ (Masterkey แบบเดียวกับกุญแจ TSA) แล้วส่งมอบให้ทางการจีนเพื่อเข้าถึงอุปกรณ์สาย iOS เมื่อปี 2014 จนทางการจีนยอมถอยในที่สุด
หน่วยงานรัฐบาลกลางของสหรัฐฯ นำโดยกระทรวงยุติธรรม (Department of Justic: DoJ) ได้ยื่นคำร้องต่อศาลขอเลื่อนการไต่สวนกรณีที่ต้องการให้ศาลบังคับ Apple ปลดล็อค iPhone 5c ที่เป็นของกลางในกรณีกราดยิงที่เมือง San Bernardino
ในคำร้องระบุว่า FBI กำลังหาช่องทางอื่นที่เป็นไปได้ในการปลดล็อค iPhone โดยระบุว่ามีบางฝ่ายที่ไม่เกี่ยวข้องกับคดี (outside party) ได้สาธิตวิธีการปลดล็อค iPhone ให้กับทาง FBI ซึ่งตอนนี้กำลังประเมินอยู่ว่าจะใช้ได้มากน้อยเพียงใด หากทำได้ FBI อาจจะไม่ต้องพึ่งความช่วยเหลือจากทาง Apple อีกต่อไปภายใต้กฎหมาย All Writs Act
ทั้งนี้ ศาลได้พิจารณาตามคำขอและอนุญาต โดยกำหนดว่าทาง DoJ ต้องนำส่งรายงานความคืบหน้าในวันที่ 5 เมษายนนี้
แนวทางเกี่ยวกับความปลอดภัยของอุปกรณ์ Nexus ช่วงหลังที่กูเกิลใช้คือสัญญาว่าจะปล่อยอัพเดตแพตช์ความปลอดภัยให้ทุกต้นเดือน แต่ล่าสุดมีรายงานว่าพบช่องโหว่ความปลอดภัยร้ายแรงมากจนกูเกิลต้องปล่อยแพตช์อัพเดตฉุกเฉินให้เร็วๆ นี้
ช่องโหว่ที่ว่านี้มีรหัส CVE-2015-1805 เปิดโอกาสให้แอพที่ไม่ประสงค์ดีสามารถใช้ช่องโหว่เกี่ยวกับสิทธิ์ในระดับเคอร์เนลเพื่อแก้ไขโค้ดของระบบปฎิบัติการได้ ถ้าโดนเล่นงานแล้วต้องแฟลชอุปกรณ์ใหม่เท่านั้น โดยขณะนี้ยืนยันแล้วว่า Nexus 5 และ 6 ได้รับผลกระทบจากบั๊กนี้ รวมถึง Nexus รุ่นอื่นๆ ทุกรุ่น และอุปกรณ์ที่รัน Android ที่ใช้ลินุกซ์เคอร์เนลเวอร์ชันต่ำว่า 3.18 ก็โดนหมดเช่นกัน
กูเกิลบอกว่ามีโทรศัพท์ Nexus 5 ถูกโจมตีผ่านช่องโหว่นี้แล้ว อย่างไรก็ตาม แอพไม่ประสงค์ดีดังกล่าวต้องเข้าถึงสิทธิ์รูทได้ก่อนเท่านั้น แปลว่าผู้ใช้ทั่วไปไม่ต้องกังวลกับบั๊กนี้มากนัก เพราะไม่ได้รูทเครื่องอยู่แล้ว แต่ที่ต้องรีบแพตช์ก็เพราะมีคนถูกโจมตีจริงๆ แล้วนั่นเอง
ขณะนี้ Google Play Store ได้บล็อกการติดตั้งแอพไม่ประสงค์ดีเหล่านั้นแล้ว อีกทั้งระบบ Verify Apps ในตัวระบบปฏิบัติการก็สามารถบล็อกการติดตั้งแอพเหล่านั้นได้แล้วเช่นกัน
กูเกิลบอกว่าจะปล่อยอัพเดตสำหรับอุปกรณ์ Nexus ในอีกไม่กี่วันข้างหน้าครับ
กูเกิลปล่อยโปรแกรม BinDiff โปรแกรมเทียบความแตกต่างของฟังก์ชั่นการทำงานของไฟล์ไบนารี โดยสามารถเทียบความแตกต่างของโปรแกรมที่คอมไพล์มาสำหรับสถาปัตยกรรมได้หลากหลาย (รองรับ x86, MIPS, ARM, PowerPC)
การใช้งานหลักของ BinDiff คงเป็นการใช้งานสำหรับนักวิจัยความปลอดภัยที่ต้องการสำรวจความเปลี่ยนแปลงไฟล์ไบนารี เช่นกรณีไฟล์ติดไวรัส โดยโปรแกรม BinDiff จะรายงานว่ามีส่วนใดทำงานเหมือนกันหรือต่างกันบ้าง รวมถึงสามารถตรวจสอบได้ว่ามีฟังก์ชั่นใดเปลี่ยนแปลงพฤติกรรมไป
บริการ ProtonMail อีเมลเข้ารหัสปลายทางถึงปลายทาง (end-to-end) เปิดให้บริการทั่วไปแล้วหลังจากเปิดบริการแบบต้องได้รับคำเชิญตั้งแต่ปี 2014 พร้อมกับเปิดตัวแอปบนแอนดรอยด์และ iOS
บริการ ProtonMail จะเข้ารหัสอีเมลที่เก็บไว้บนเซิร์ฟเวอร์ด้วยรหัสผ่านคนละชุดกับรหัสผ่านล็อกอิน หากเราลืมรหัสผ่านสำหรับปลดล็อกอีเมล แม้จะล็อกอินได้แต่ก็ไม่สามารถอ่านอีเมลเก่าๆ ได้อีก ส่วนการส่งอีเมลหาผู้ใช้คนอื่นนอก ProtonMail หากเลือกบริการเข้ารหัสจะกลายเป็นลิงก์ให้ปลายทางเข้ามาเปิดอ่าน โดยต้องมีรหัสตกลงระหว่างกันล่วงหน้า
จบไปแล้วสำหรับงาน Pwn2Own 2016 งานแข่งขันหาช่องโหว่ของระบบปฏิบัติการและเบราว์เซอร์ต่างๆ ที่จะเปิดให้ผู้เข้าแข่งขันเจาะ (Pwn) เพื่อเป็นเจ้าของ (Own) เงินรางวัลหรืออุปกรณ์ที่เป็นหัวข้อการแข่งขัน ซึ่งปีนี้ Chrome, Edge และ Safari ก็โดนเจาะได้หมด เช่นเดียวกับระบบปฏิบัติการ Windows และ OS X
สำหรับ Chrome นั้น มีผู้เข้าแข่งขันพยายามเจาะเบราว์เซอร์ของ Google ด้วยกัน 2 ครั้ง ซึ่งสำเร็จเพียงครึ่ง โดย Chrome ถูกเจาะด้วยช่องโหว่ 1 จุด ที่บังเอิญว่า Google ได้รับรายงานช่องโหว่นั้นแล้ว จึงพิจารณาให้รางวัลผู้เจาะสำเร็จแค่ครึ่งเดียว ในขณะที่ Microsoft Edge และ Safari ถูกผู้เข้าแข่งขันทำการโจมตีไป 2 และ 3 ครั้งตามลำดับ ซึ่งก็ล้วนแล้วแต่เจาะเบราว์เซอร์ทั้ง 2 ตัวได้สำเร็จทุกครั้ง
บริษัทความปลอดภัยเครือข่าย Palo Alto Networks รายงานการพบมัลแวร์บน iOS ตัวใหม่ ที่สามารถแพร่กระจายติดอุปกรณ์ iOS ได้ แม้ไม่ใช่เครื่องที่ jailbreak ก็ตาม
Palo Alto Networks ตั้งชื่อมัลแวร์ตัวนี้ว่า AceDeceiver เทคนิคของมันใช้ช่องโหว่จากระบบ DRM FairPlay ของแอปเปิล โจมตีอุปกรณ์เป้าหมายแบบ Man-in-the-Middle (MITM)
หมายเลขอ้างอิงช่องโหว่ความปลอดภัยที่รู้จักกันดีคงเป็นหมายเลข CVE เช่น ช่องโหว่ Heartbleed ก็มีหมายเลข CVE-2014-0160 แต่ช่วงปีที่ผ่านมานักวิจัยความปลอดภัยเริ่มแสดงความไม่พอใจกระบวนการขอหมายเลข CVE ว่าช้ากว่าที่ควรจะเป็น ตอนนี้ MITRE Corporation หน่วยงานออกเลข CVE จึงเตรียมระบบออกเลขอ้างอิงใหม่ที่จะออกเลขประจำช่องโหว่ได้เร็วขึ้น
หมายเลขชุดใหม่จะอยู่ในฟอร์แมต CVE-CCCIII-YYYY-NNNN…N
โดยเลข CCC จะเป็นรหัสประเทศ และ III เป็นหมายเลขหน่วยงาน ช่วงแรกจะมีหน่วยงานเดียวคือ MITRE เอง แต่อนาคตจะเพิ่มหน่วยงานอื่นๆ เข้ามาด้วย
ถ้ายังจำคดี iCloudgate หรือ Celebgate ที่มีภาพส่วนตัวของศิลปิน ดารา เซเล็บจำนวนมากหลุดออกสู่อินเทอร์เน็ตในปี 2014 ความคืบหน้าล่าสุดของคดีนี้คือกระทรวงยุติธรรมสหรัฐ ยื่นฟ้องนาย Ryan Collins ข้อหาแฮ็กบัญชีแอปเปิลและกูเกิลกว่า 100 บัญชี ซึ่งส่วนใหญ่เป็นบัญชีของคนดังในวงการบันเทิง
Collins ยอมรับความผิดตามกฎหมายคอมพิวเตอร์ Computer Fraud and Abuse Act ข้อหาบุกรุกเข้าระบบคอมพิวเตอร์เพื่อขโมยข้อมูล มีบทลงโทษจำคุกสูงสุด 5 ปี (ต้องรอศาลตัดสินว่าจะลงโทษอย่างไร)
เมื่อวานนี้ Laël Cellier รายงานช่องโหว่ remote code execution ซึ่งเป็นช่องโหว่บน Git ทุกรุ่นที่เก่ากว่า 2.7.1 ทำให้เกิด buffer overflow ได้เมื่อผู้ push หรือ clone โปรเจกต์ที่มีชื่อไฟล์ยาวหรือมีโครงสร้างไดเรกทอรีซ้อนกันมากๆ
ปัญหาดังกล่าวถูกแก้มาตั้งแต่ 8 กุมภาพันธ์ที่ผ่านมาในรุ่น 2.7.1 แต่ดูเหมือนว่าจะไม่ได้รับความสนใจเท่าใดนัก จนกระทั่งมีการนำช่องโหว่นี้ไปรายงานในเว็บไซต์ seclists ดังกล่าว
กูเกิลประกาศเพิ่มหมวดรายงานความโปร่งใส จากเดิมรายงานเน้นการขอข้อมูลผู้ใช้ และการขอลบข้อมูลออกจากระบบ ตอนนี้เพิ่มรายงานการเชื่อมต่อผ่าน HTTPS ของบริการต่างๆ
ข้อมูลของกูเกิลแสดงให้เห็นว่าโดยรวมแล้วตอนนี้จำนวนการเชื่อมต่อเข้ามายังเซิร์ฟเวอร์กูเกิล 75% เป็นการเชื่อมต่อแบบ HTTPS แล้วและแนวโน้มกำลังเพิ่มขึ้นเรื่อยๆ และข้อมูลแยกตามบริการแสดงให้เห็นว่าบริการโฆษณานั้นเพิ่มขึ้นเร็วที่สุด โดยตอนนี้เกิน 75% แล้วจากต้นปี 2014 ที่เชื่อมต่อผ่าน HTTPS เพียง 9% เท่านั้น
ลินุกซ์รุ่น 2.6 เป็นรุ่นที่ได้รับความนิยมอย่างสูงในบรรดาลินุกซ์ทั้งหมด มันมีอายุการใช้งานยาวนานหลังออกมาครั้งแรกในปลายปี 2003 หรือ 13 ปีที่แล้ว จนถึงตอนนี้ทีมงานเคอร์เนลประกาศเลิกซัพพอร์ตอย่างเป็นทางการแล้ว
แพตช์สุดท้ายของ ลินุกซ์ 2.6 จะเป็นรุ่น 2.6.32.71 มีการแก้บั๊กทั่วไปไม่มากนัก ทางทีมงานระบุว่าไม่มีเหตุผลที่จะต้องติดตั้งเครื่องใหม่ด้วยเคอร์เนลรุ่นนี้แล้ว ยกเว้นหากติดค้างกระบวนการย้ายไปใช้เคอร์เนลรุ่นใหม่ และแนะนำว่าเคอร์เนลรุ่น 3.2 ยังเหลือเวลาซัพพอร์ตอีก 2 ปี
ที่มา - lkml
เมื่อสัปดาห์ที่แล้ว Project Zero พบช่องโหว่ในเคอร์เนลลินุกซ์ และติดต่อหลังไมค์ไปยังทีมงานเคอร์เนล จนกระทั่งทีมงานตอบกลับว่าให้ส่งข้อมูลเป็นสาธารณะได้เลย ตอนนี้แพตช์ก็ออกมาแล้วและ Ubuntu ก็ปล่อยแพตช์ชุดนี้เป็นที่เรียบร้อย
ช่องโหว่นี้เป็นช่องโหว่สำหรับที่เปิดโอกาสให้ผู้โจมตีที่รันซอฟต์แวร์บนเครื่องได้แต่มีสิทธิ์จำกัด (local unprivileged attacker) สามารถทำให้เครื่องแครช หรือยกสิทธิ์ตัวเองขึ้นเป็นผู้ดูแลระบบได้
กูเกิลปรับเงื่อนไขการรายงานช่องโหว่ความปลอดภัยสำหรับ Chrome Reward Program (CRP) โดยขยายขอบเขตและเพิ่มเงินรางวัล
เงินรางวัลสูงสุดของ CRP ตอนประกาศอยู่ที่ 50,000 ดอลลาร์ แต่ปีนี้จะเพิ่มเป็น 100,000 ดอลลาร์ กูเกิลระบุว่าจนถึงตอนนี้ยังไม่มีนักวิจัยที่ได้รับเงินรางวัลสูงสุดตามที่ประกาศไว้ โดยรางวัลสูงสุดนี้จะได้ต่อเมื่อสามารถแฮก Chromebook ที่คงอยู่ในเครื่องแม้จะบูตเครื่องไปแล้วก็ตาม
อีกส่วนหนึ่งคือการเพิ่มขอบเขตให้ครอบคลุมการป้องกันไฟล์ดาวน์โหลดที่เป็นฟีเจอร์ใหม่
ที่มา - Google Security Blog
กระบวนการรักษาความปลอดภัยโทรศัพท์มือถือในช่วงสองปีที่ผ่านมาเริ่มนิยมใช้ลายนิ้วมือมากขึ้นเรื่อยๆ จากความสะดวกของผู้ใช้ที่ไม่ต้องใส่รหัสผ่านเพื่อปลดล็อคเครื่อง แต่อันตรายจากการปลอมแปลงลายนิ้วมือก็เป็นปัญหามาตลอด ล่าสุดนักวิจัยจากมหาวิทยาลัย Michigan State ก็ออกมารายงานกระบวนการพิมพ์ลายนิ้วมือจากเครื่องพิมพ์อิงค์เจ็ตได้สำเร็จ
กระบวนการปลอมแปลงก่อนหน้านี้มักใช้กระบวนการที่ไม่ซับซ้อนนัก เช่นใช้กาวลาเท็กซ์ลอกลายนิ้วมือออกมา แต่ข้อเสียสำคัญคือกระบวนการเช่นนี้ต้องอาศัยฝีมือเป็นพิเศษ กระบวนการใหม่ที่ทีมงานเสนอใช้หมึกนำกระแสไฟฟ้าเป็นอุปกรณ์พิเศษเพียงอย่างเดียว
ความขัดแย้งระหว่างหน่วยงานภาครัฐของสหรัฐ (FBI + กระทรวงยุติธรรม) กับแอปเปิลในกรณีถอดรหัส iPhone เป็นเพียงตัวอย่างของปัญหาใหญ่เรื่องการเข้ารหัสข้อมูลเท่านั้น บริษัทด้านไอทีทุกแห่งมีโอกาสเจอปัญหาแบบเดียวกัน และล่าสุดมีข่าวว่ารายต่อไปที่จะโดนกดดันจากภาครัฐคือ WhatsApp
หนังสือพิมพ์ The New York Times รายงานข่าววงในว่า เจ้าหน้าที่ในกระทรวงยุติธรรมกำลังถกเถียงว่าจะแก้ปัญหาเรื่องการเข้าถึงข้อความใน WhatsApp อย่างไร ความนิยมใน WhatsApp เริ่มสร้างปัญหาในวงกว้าง เพราะรัฐบาลไม่สามารถดักฟังข้อความที่ถูกเข้ารหัสใน WhatsApp ได้
การอัพเดตแพตช์ความปลอดภัยของ Android ยังเป็นปัญหาเรื้อรัง ถึงแม้กูเกิลหันมาใช้นโยบายออกแพตช์ความปลอดภัยทุกเดือน แต่มือถือของบริษัทอื่นๆ ที่ไม่ใช่ Nexus ก็เจอปัญหาอัพเดตล่าช้าอยู่ดี (เช่น Nexus อัพเดตต้นเดือน แพตช์ของเจ้าอื่นมาปลายเดือน หรือไม่ได้เลยด้วยซ้ำ)
อย่างไรก็ตาม มีผู้ผลิตอยู่หนึ่งรายที่จริงจังกับเรื่องนี้ นั่นคือ BlackBerry
BlackBerry ออกมาคุยว่า BlackBerry Priv มือถือ Android ตัวแรกของบริษัท สามารถอัพเดตแพตช์ความปลอดภัยในวันเดียวกับ Nexus มาตั้งแต่เดือนธันวาคมปีที่แล้ว นับเป็นเวลา 4 เดือน 4 รอบแพตช์แล้ว แสดงให้เห็นว่า BlackBerry พูดจริงทำจริง และเป็นจุดขายสำหรับคนที่อยากใช้มือถือ Android ที่เน้นความปลอดภัยมากๆ ซึ่งบริษัทอื่นทำให้แบบนี้ไม่ได้
แฮคเกอร์ลึกลับเจาะเข้าเซิร์ฟเวอร์ธนาคาร และสวมรอยส่งคำร้องไปยังแหล่งเงินนอกประเทศให้ทำการโอนเงินเกือบพันล้านดอลลาร์กระจายไปยังหลายบัญชี เดชะบุญที่หลังการโอนเงินผ่านไปเพียง 80 ล้านดอลลาร์ ระบบได้ตรวจพบชื่อบัญชีที่สะกดผิดทำให้สามารถยับยั้งความเสียหายของมหกรรมแฮคครั้งมโหฬารนี้ไว้ได้เสียก่อน
Project Zero ของกูเกิลตรวจสอบช่องโหว่ความปลอดภัยของโครงการหลากหลาย โดยมีนโยบายว่าจะติดต่อกับเจ้าของโครงการเป็นการลับและให้เวลา 90 วันก่อนเปิดข้อมูลสู่สาธารณะ และผู้ได้รับแจ้งมักขอเวลาปิดเป็นความลับจนกว่าแพตช์เสร็จสิ้น
แต่ช่องโหว่ล่าสุดที่ Project Zero แจ้งไปยังทีมงานเคอร์เนลลินุกซ์ ทีมงานผู้ดูแลโมดูลเครือข่ายกลับแจ้งมายัง Project Zero ว่า "ขอให้โพสต์เป็นสาธารณะได้เลย" ทีมงานจะรีบแก้ไขต่อไป
ช่องโหว่อยู่ในโมดูล netfilter เมื่อเรียกใช้ออปชั่น IPT_SO_SET_REPLACE จากฟังก์ชั่น setsockopt จะทำให้แอปพลิเคชั่นที่ไม่มีสิทธิ์แก้ไขข้อมูลในเคอร์เนล สามารถแก้ไขข้อมูลในฮีป (heap) นอกพื้นที่ที่เกี่ยวข้องได้ ตอนนี้ยังไม่มีข้อมูลการโจมตีในทางปฎิบัติว่าช่องโหว่นี้เอาไปใช้ทำอะไรได้บ้าง
ในยุคที่การใช้นิ้วเพื่อปลดล็อกมือถือ หรือยืนยันตัวตนเริ่มจะตกเทรนด์ไปตั้งแต่การมาของระบบสแกนหน้า วิเคราะห์เสียง และญาติใกล้นิ้วอย่างลายนิ้วมือ กำลังได้รับความนิยมเพิ่มขึ้นอย่างต่อเนื่อง หลายคนอาจคิดว่าจะมีอะไรอีกบ้างที่สามารถนำมาปลดล็อกมือถือได้อีก
วันนี้เองโลกก็ได้พบกับโซลูชันใหม่สำหรับการยืนยันตัวตนด้วยหูของผู้ใช้ จากผลงานวิจัยของ NEC บริษัทไอทีสัญชาติญี่ปุ่นที่พัฒนาหูฟังพิเศษพร้อมไมโครโฟนในตัวที่สามารถส่งเสียงเบาๆ เข้าไปยังหู และวิเคราะห์เสียงสะท้อนกลับมาว่าใช่เจ้าของหรือไม่ โดย NEC ยืนยันความแม่นยำว่าสูงถึง 99% ด้วยกัน
เว็บไซต์ข่าวไอที The Intercept รายงานว่า Edward Snowden ได้กล่าวผ่านระบบวิดีโอคอลจากรัสเซียในงานประชุม Common Cause Blueprint for a Great Democracy ที่จัดโดยองค์กร Common Cause องค์กรการกุศลด้านการเมืองของอเมริกา ระบุว่าการที่ FBI พยายามกดดันให้ Apple ปลดล็อค iPhone โดยอ้างว่า FBI ไม่มีความสามารถในการทำนั้น เป็นเรื่องที่เหลวไหล
Snowden ระบุว่า FBI เองมีแนวทางในการข้ามการรักษาความปลอดภัยใน iPhone อยู่แล้ว ซึ่งสามารถทำได้ โดยเขายกตัวอย่างไว้หนึ่งวิธีการที่อาจจะทำให้เข้าถึง iPhone ได้ การที่อ้างว่า Apple เป็นคนเดียวที่ปลดล็อค iPhone ของกลางได้เท่านั้น จึงเป็นเรื่องที่เหลวไหล (ต้นฉบับใช้คำแรงกว่านี้มาก)