คลังเก็บป้ายกำกับ: BRUTE-FORCE

พบช่องโหว่หลายรายการบนอุปกรณ์ SmartCam Camera แนะควรอัปเดต

Vladimir Dashchenko นักวิจัยจาก Kaspersky ได้ค้นพบช่องโหว่บน Smart Camera ของผู้ผลิต Hanwha Group ประเทศเกาหลีได้โดยก่อนหน้านี้ในปี 2014 ซื้อกิจการส่วนนี้ต่อมาจาก Samsung ดังนั้นแบรนด์ยังเป็นชื่อของ Samsung อยู่ ซึ่งช่องโหว่ที่พบนั้นส่งผลให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์จากระยะไกลได้

Credit: ShutterStock.com

Smart Camera ของ Hanwha นั้นมักจะนำไปใช้เพื่อบันทึกภาพวงจรปิดด้วยความละเอียดระดับสูง พร้อมกับระบบบันทึกในเวลากลางคืนและเซนเซอร์ตรวจจับการเคลื่อนไหว อีกทั้งยังมีลำโพงให้ผู้ดูแลส่งเสียงผ่านกล้องได้ นอกจากนี้ยังมีการเก็บข้อมูลบนคลาวด์และอนุญาตให้ผู้ใช้เข้าถึงจากระยะไกลผ่านอุปกรณ์ใดๆ ก็ได้

นักวิจัยเผยว่าช่องโหว่ทั้งหมดมี 12 รายการ โดยภาพรวมของช่องโหว่นั้นสามารถนำไปใช้ในสถานการณ์ เช่น ดักจับทราฟฟิคระหว่างการอัปเดต Firmware ผ่านทาง HTTP และการปฏิสัมพันธ์ของตัวกล้อง การใช้งาน Web UI การสร้าง Remote Code Execution ด้วยสิทธิ์ระดับผู้ดูแล การทำให้เกิดการโจมตีแบบ DoS และ Brute-force attack บัญชีของผู้ดูแล รวมถึงลัดผ่านขั้นตอนการพิสูจน์ตัวตน โดยคาดว่าน่าจะมีอุปกรณ์ Smart Camera ออนไลน์อยู่บนอินเตอร์เน็ตประมาณ 2 พันตัวแต่ผู้เชี่ยวชาญคาดว่าจะมีผลกระทบมากกว่านั้นเพราะช่องโหว่อาจจะถูกใช้ได้แม้อุปกรณ์จะไม่สามารถเข้าถึงได้ผ่านหน้าเว็บ โดยช่องโหว่ที่น่าสนใจมีดังนี้

  • หากอุปกรณ์ถูกนำไปลงทะเบียนแล้ว เจ้าของตัวจริงจะไม่สามารถเข้าไปลงทะเบียนและใช้งานกล้องได้และแฮ็กเกอร์สามารถเข้าควบคุมอุปกรณ์ได้
  • ช่องโหว่ของ Cloud ทำให้แฮ็กเกอร์สามารถปลอมเป็นเซิร์ฟเวอร์อัปเดตเพื่อส่ง Firmware เวอร์ชันปรับแต่งไปยังอุปกรณ์ทำให้สามารถเข้าถึงอุปกรณ์เหยื่อเพื่อเป็นทางเข้าไปยังจุดต่อไปในเครือข่ายภายในบ้านของเหยื่อได้
  • แฮ็กเกอร์สามารถใช้ Clone Camera (กล้องในฝั่งคนร้าย) เพื่อปลอมแปลงวิดีโอที่ฉายออกมาให้เหยื่อได้
  • ขั้นตอนการตั้งค่ากล้องมีการนำเสนอถึง Credential ของ Social Media และบริการออนไลน์อื่นๆ เพื่อส่งข้อความแจ้งเตือนซึ่งคนร้ายสามารถนำไปใช้ในแคมเปญของการทำ Phishing หรือ Spam ได้

ผู้เชี่ยวชาญบอกว่าการโจมตีจากระยะไกลนั้นเป็นกระบวนการหลายชั้นโดยเริ่มหาข้อมูลจาก Serial Number และ Mac Address ของอุปกรณ์กล้องก่อน ซึ่งอาจทำได้โดยการคาดเดาหรือ Brute-force ถ้าหากต้องการขยายวงไปกว่านั้นก็สามารถใช้ Script เพื่อตอบโจทย์ความต้องการได้ โดยกล้องที่นักวิจัยใช้ทดสอบคือ SNH-V6410PN/PNW แต่ Firmware นั้นเหมือนกับโมเดลรุ่นอื่นๆ แต่มีความสามารถแตกต่างกันออกไปดังนั้นมีความเป็นไปได้สูงว่ากล้องรุ่นอื่นก็ได้รับผลกระทบเช่นเดียวกัน อย่างไรก็ตามผู้ผลิตได้ออกแพตซ์เรียบร้อยแล้วเมื่อได้รับการแจ้งเตือนจาก Kaspersky ดังนั้นผู้ใช้งานควรอัปเดต

ที่มา : https://www.securityweek.com/remotely-exploitable-flaws-found-smartcam-cameras

from:https://www.techtalkthai.com/hunwha-smartcam-camera-vulnerabilities/

Advertisements

พบแคมเปญ Brute Force พุ่งเป้าเว็บ WordPress หวังใช้ขุดเงิน Monero

Wordfence บริษัทผู้ให้บริการระบบรักษาความมั่นคงปลอดภัยแก่เว็บไซต์ที่ใช้ WordPress ออกมาเปิดเผยถึงแคมเปญการโจมตีแบบ Brute Force ครั้งใหญ่ ที่พุ่งเป้าไปยังเว็บไซต์ WordPress ทั่วโลก เพื่อหวังแฮ็กบัญชี Admin แล้วติดตั้งโปรแกรมสำหรับขุดเหมืองเงินดิจิทัล Monero

Wordfence ระบุว่า แคมเปญดังกล่าวถือว่าเป็นแคมเปญการโจมตีที่ใหญ่ที่สุดที่ทางบริษัทเคยรับมือมา โดยการโจมตีเริ่มขึ้นประมาณช่วง 10 โมงเช้าของวันจันทร์ที่ 18 ธันวาคม ซึ่งการโจมตีระลอกที่ใหญ่ที่สุดมีการ Brute Force ถึง 14.1 ล้านครั้งต่อชั่วโมง และการโจมตีมาจากหมายเลข IP ที่แตกต่างกันถึง 10,000 IP นอกจากนี้ ไซต์ WordPress เป้าหมายยังมีจำนวนสูงถึง 190,000 ไซต์ต่อชั่วโมง

จากการตรวจสอบพบว่า ฐานข้อมูล Username และ Password ที่แฮ็กเกอร์ใช้มาจาก รายการรหัสผ่านที่พบบ่อย ผสมรวมกับชื่อบัญชีที่มาจากชื่อโดเมนและเนื้อหาข้อมูลของเว็บไซต์ที่ถูกโจมมตี

หลังจากที่แฮ็กเกอร์สามารถเจาะเข้าไปยังระบบได้แล้ว จะทำการติดตั้งโปรแกรม Monero Miner เพื่อใช้เป็นฐานในการขุดเหมืองเงินดิจิทัลสร้างรายได้ให้แก่ตนเอง รวมไปถึงใช้ไซต์ WordPress ดังกล่าวในการโจมตีแบบ Brute Force ไซต์อื่นๆ ต่อ อย่างไรก็ตาม กิจกรรม 2 อย่างนี้จะไม่เกิดขึ้นเพร้อมกัน ดังนั้นจำนวนไซต์ Word Press ที่ถูกแฮ็กจะมีมากกว่าจำนวนหมายเลข IP ที่ใช้ในแคมเปญโจมตีแบบ Brute Force แน่นอน

เมื่อตรวจสอบ Monero Wallet Address ที่ใช้ขุดเหมืองเงินดิจิทัล พบว่าจนถึงตอนนี้แฮ็กเกอร์สามารถทำรายได้ไปแล้วมากกว่า $100,000 (ประมาณ 3,300,000 บาท) และมีแนวโน้มเพิ่มขึ้นเรื่อยๆ ตามค่าเงินของ Monero ที่ทวีสูงขึ้นเกือบ 2 เท่าในช่วงเดือนที่ผ่านมา

ที่มา: https://www.bleepingcomputer.com/news/security/massive-brute-force-attack-infects-wordpress-sites-with-monero-miners/

from:https://www.techtalkthai.com/massive-brute-force-campaign-targets-wordpress-sites-for-monero-mining/

เตือนผู้ใช้ MySQL เสี่ยงถูกโจมตีฐานข้อมูลเรียกค่าไถ่

GuardiCore ผู้ให้บริการโซลูชัน Breach Detection ชื่อดัง ออกมาเตือนภัยถึงการโจมตีเรียกค่าไถ่รูปแบบใหม่ พุ่งเป้าไปยังระบบฐานข้อมูล MySQL โดยจะทำการขโมยแล้วลบข้อมูลออกจากฐานข้อมูล พร้อมทิ้งข้อความเรียกค่าไถ่เป็นเงิน 0.2 Bitcoin (ประมาณ 8,200 บาท) เพื่อแลกกับการนำข้อมูลที่ถูกขโมยไปกลับคืนมา

Credit: Bacho/ShutterStock

GuardiCore ระบุว่า ตรวจพบการโจมตีเรียกค่าไถ่ดังกล่าวเมื่อวันที่ 12 กุมภาพันธ์ ซึ่งดำเนินไปเป็นระยะเวลาเพียงแค่ 30 ชั่วโมงเท่านั้น แต่มีฐานข้อมูลตกเป็นเหยื่อหลายร้อยเครื่อง โดยแฮ็คเกอร์ใช้วิธีโจมตีแบบ Brute Force ไปยังฐานข้อมูล MySQL ที่ออนไลน์อยู่บนอินเทอร์เน็ต เพื่อให้ได้สิทธิ์เป็น Root ของระบบ จากนั้นจะทำการขโมยข้อมูลในฐานข้อมูลออกไป แล้วลบข้อมูลทั้งหมดทิ้ง เหลือไว้เพียงฐานข้อมูลที่ระบุข้อความเรียกค่าไถ่และช่องทางติดต่อเท่านั้น

จากการตรวจสอบพบว่า การโจมตีทั้งหมดมาจากหมายเลข IP เดียวกัน คือ 109.236.88.20 ซึ่งเป็นหมายเลข IP ที่บริษัทโฮสติ้ง ชื่อว่า WorldStream จากประเทศเนเธอร์แลนด์เป็นเจ้าของ อย่างไรก็ตาม เมื่อพิจารณาจากรูปแบบการโจมตี ไม่สามารถระบุได้แน่ชัดว่ามาจากแฮ็คเกอร์คนหรือกลุ่มเดียวกัน เนื่องจากมีวีธีการโจมตีและช่องทางเรียกค่าไถ่ต่างกัน เช่น เป้าหมายบางรายหลังถูกโจมตีแล้ว แฮ็คเกอร์จะสร้างฐานข้อมูลชื่อว่า “PLEASE_READ” และตารางชื่อว่า “WARNING” ซึ่งระบุข้อความเรียกค่าไถ่ แต่บางรายแฮ็คเกอร์กลับสร้างตาราง “WARNING” ไว้ในฐานข้อมูลที่มีอยู่แล้ว

นอกจากนี้ พบว่าการโจมตีบางส่วนมีเฉพาะการลบข้อมูลในฐานข้อมูลทั้งหมดทิ้งเพียงอย่างเดียว ไม่ได้มีการขโมยข้อมูลออกไป ดังนั้นเจ้าของฐานข้อมูลควรตรวจสอบ Log ให้ดีก่อนว่า ข้อมูลของตนถูกขโมยหรือไม่ ก่อนที่จะเสียเงินจ่ายค่าไถ่ไปฟรีๆ

ด้านล่างแสดงข้อความเรียกค่าไถ่ในฐานข้อมูล พบว่ามี 2 แบบ คือ ให้เหยื่อติดต่อกลับผ่านทางอีเมลเพื่อจ่ายค่าไถ่ และให้จ่ายค่าไถ่ผ่านเว็บไซต์ในเครือข่าย Tor

INSERT INTO PLEASE_READ.`WARNING`(id, warning, Bitcoin_Address, Email) VALUES(‘1′,’Send 0.2 BTC to this address and contact this email with your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!’, ‘1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY’, ‘backupservice@mail2tor.com’)
INSERT INTO `WARNING`(id, warning)
VALUES(1, ‘SEND 0.2 BTC TO THIS ADDRESS 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 AND GO TO THIS SITE http://sognd75g4isasu2v.onion/ TO RECOVER YOUR DATABASE! SQL DUMP WILL BE AVAILABLE AFTER PAYMENT! To access this site you have use the tor browser https://www.torproject.org/projects/torbrowser.html.en’)

เมื่อตรวจสอบบัญชี Bitcoin ที่ระบุอยู่ในข้อความเรียกค่าไถ่ พบว่ามีการชำระเงินรวมแล้ว 10 ครั้ง ซึ่งคาดว่ามาจากการจ่ายค่าไถ่ทั้งหมด

GuardiCore แนะนำให้ผู้ดูแลระบบฐานข้อมูลปฏิบัติตามคู่มือด้านความมั่นคงปลอดภัยของ MySQL เพื่อป้องกันการถูกโจมตีเพื่อเรียกค่าไถ่ ไม่ว่าจะเป็นการสำรองข้อมูลในฐานข้อมูลเป็นประจำ การยกเลิกการใช้บัญชี Root หรืออย่างน้อยก็เปลี่ยนไปใช้รหัสผ่านที่แข็งแกร่ง ยากต่อการถูกโจมตีแบบ Brute Force

ที่มา: https://www.bleepingcomputer.com/news/security/database-ransom-attacks-have-now-hit-mysql-servers/

from:https://www.techtalkthai.com/mysql-database-ransom-attacks/

พบช่องโหว่ Full Disk Encryption บน Android กว่าร้อยล้านเครื่องเสี่ยงถูกแคร็กเพื่อขโมยข้อมูล

Gal Beniamini ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยพบช่องโหว่ CVE-2015-6639 และ CVE-2016-2431 บนสมาร์ทโฟน Android ที่ใช้ชิพประมวลผล Qualcomm Snapdragon ส่งผลให้แฮ็คเกอร์สามารถแคร็กอุปกรณ์ที่เข้ารหัสทั้งเครื่อง (Full Disk Encryption) เพื่อขโมยข้อมูลความลับที่เก็บไว้ได้อย่างง่ายดาย

Credit: Pretty Vectors/ShutterStocks
Credit: Pretty Vectors/ShutterStocks

กระทบ Android หลายร้อยล้านเครื่อง และยังไม่มีแพทช์อุดช่องโหว่

การแคร็ก Full Disk Encryption บน Android นี้ไม่จำเป็นต้องใช้วิธีการที่ยุ่งยาก เพียงแค่โจมตีแบบ Brute Force และรอเวลาเท่านั้น ก็สามารถเข้าถึงข้อมูลที่ถูกเข้ารหัสอยู่ได้ทันที การโจมตีส่งผลกระทบต่ออุปกรณ์ Android หลายร้อยล้านเครื่องทั่วโลกที่ใช้ชิพ Qualcomm Snapdagon ที่แย่คือ ยังไม่มีแพทช์อัพเดทเพื่ออุดช่องโหว่นี้แต่อย่างใด

Google เริ่มใช้ Full Disk Encryption บน Android โดยเปิดเป็นฟีเจอร์พื้นฐานจากโรงงานตั้งแต่ Android 5.0 Lollipop ฟีเจอร์ดังกล่าวเป็นกระบวนการเข้ารหัสข้อมูลของผู้ใช้บนอุปกรณ์ Android ก่อนที่จะเขียนลงบนดิสก์ ข้อมูลที่ถูกเข้ารหัสสามารถอ่านได้โดยใช้รหัสผ่านของผู้ใช้ที่เป็นเจ้าของเครื่องเท่านั้น ฟีเจอร์นี้จึงช่วยป้องกันทั้งแฮ็คเกอร์และหน่วยงานรัฐฯ ในการเข้าถึงข้อมูลบนเครื่องโดยไม่ได้รับอนุญาต

พบช่องโหว่ขโมยกุญแจเข้ารหัสจาก Snapdradon TrustZone

โดยพื้นฐานแล้ว Full Disk Encryption จะใช้รหัสผ่านเพียงอย่างเดียว แต่ในความเป็นจริง บนชิพ Qualcomm กลับใช้รหัสผ่านเป็นตัวสร้างกุญแจเข้ารหัส RSA Key ขนาด 2048 บิต หรือที่เรียกว่า KeyMaster แทน

การประมวลผลของ Qualcomm จะรันบน Snapdragon TrustZone ซึ่งปกป้องฟังก์ชันสำคัญๆ เช่น การเข้ารหัสข้อมูล และการตรวจสอบไบโอเมทริกซ์ เป็นต้น แต่ Beniamini กลับค้นพบช่องโหว่ที่ช่วยให้สามารถเจาะเข้าไปใน TrustZone เพื่อขโมยกุญแจสำหรับเข้ารหัสออกมาได้

Screen Shot 2016-07-03 at 3.27.55 PM

Qualcomm จะรัน Kernel ขนาดเล็กบน TrustZone เพื่อให้กลายเป็น Trusted Execution Environment หรือที่รู้จักในชื่อ QSEE (Qualcomm Secure Execution Environment) ซึ่งช่วยให้แอพพลิเคชันสำคัญๆ ขนาดเล็กสามารถรัน QSEE นี้แทนที่จะรันบนระบบปฏิบัติการหลักของ Android ได้ KeyMaster ก็เป็นหนึ่งใน QSEE App

ช่องโหว่ที่ Beniamini ค้นพบเป็นช่องโหว่บน Android Kernel ซึ่งช่วยให้แฮ็คเกอร์สามารถโหลด QSEE App ของตนเองเข้าไปยัง Trusted Execution Environment ได้ ส่งผลให้แฮ็คเกอร์สามารถโจมตีช่องโหว่เพื่อยกระดับสิทธิ์ของตน และเข้ายึดครอง QSEE ทั้งหมดได้ ซึ่งรวมไปถึงกุญแจที่ใช้เข้ารหัส Full Disk Encryption

เมื่อได้กุญแจเข้ารหัสมาแล้ว แฮ็คเกอร์สามารถโจมตีแบบ Brute Force ต่อเพื่อค้นหารหัสผ่านของผู้ใช้ แล้วแคร็ก Full Disk Encryption ของ Android ได้ทันที

อ่านขั้นตอนการแคร็กของ Beniamini ได้ที่ http://bits-please.blogspot.in/2016/06/extracting-qualcomms-keymaster-keys.html และ https://github.com/laginimaineb/ExtractKeyMaster

ที่มา: http://thehackernews.com/2016/07/hacking-android-encryption.html

from:https://www.techtalkthai.com/android-full-disk-encryption-vulnerability/

พบช่องโหว่ Brute Force บน Instagram รับเงินรางวัลไปเกือบ 180,000 บาท

facebook-logo

Arne Swinnen ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจากเบลเยี่ยม ได้รับเงินรางวัลจาก Facebook เป็นจำนวนสูงถึง $5,000 หรือประมาณ 177,000 บาท หลังค้นพบช่องโหว่ Brute Force รหัสผ่านบนหน้าล็อกอินของ Instagram จำนวน 2 รายการ โดยสาเหตุหลักเกิดจาก Password Policy และ Control ของ Facebook ไม่แข็งแกร่งเพียงพอ

instagram_hacked_4

โจมตีแบบ Brute Force โดยใช้ Mobile Login API

Swinnen พบช่องโหว่ที่ช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Brute Force ชื่อบัญชีของ Instagram ได้ผ่านทางช่องโหว่บน API ที่ใช้พิสูจน์ตัวตนบน Android และช่วยให้สามารถบายพาส Certificate Pinning ที่ใช้ป้องกันโจมตีแบบ Man-in-the-Middle ได้

Swinnen ระบุใน Blog ของเขาว่า การโจมตีแบบ Brute Force 1,000 ครั้งแรกบน Mobile Login API นั้น Instagram จะตอบกลับมาว่า “Password you entered is incorrect” เรียกว่าเป็น Reliable Response หลังจากนั้นอีก 1,000 ครั้ง Instagram จะตอบกลับมาว่า “Username Not Found” แทน ซึ่งเป็น Unreliable Response เนื่องจากการจัดการเรื่อง Rate Limiting Control

อย่างไรก็ตาม Swinnen ได้ทำการ Brute Force ต่อ พบว่าหลังจากครั้งที่ 2,000 เป็นต้นไป Instagram จะกลับมาตอบเป็น Reliable Response อีกครั้งหนึ่ง และสลับไปเป็น Unreliable Response ทุกๆ 1,000 ครั้ง ส่งผลให้ Swinnen สามารถเขียนสคริปต์เพื่อตรวจสอบ Reliable Response ทุกๆ 1,000 ครั้ง จนแกะรหัสผ่านได้เป็นผลสำเร็จ (โดยเฉลี่ยแล้ว Swinnen ต้องส่ง Request ไป 2 ทีเพื่อตรวจสอบรหัสผ่าน 1 ครั้ง)

ที่แย่คือ เมื่อโจมตีสำเร็จ Swinnen สามารถล็อกอินเข้าใช้ Instagram ของเหยื่อผ่านทางหมายเลข IP ที่เขาใช้โจมตีได้ทันที นับว่าเป็นเรื่องที่เลวร้ายที่สุดสำหรับการปกป้องชื่อบัญชีผู้ใช้จากการเข้าใช้งานแบบไม่มีสิทธิ์

Credit: ShutterStock.com
Credit: ShutterStock.com

โจมตีแบบ Brute Force โดยใช้ระบบลงทะเบียนผ่านหน้าเว็บ

ช่องโหว่ Brute Force ชื่อบัญชีอีกรายการหนึ่งอยู่บนหน้าลงทะเบียนผ่านเว็บของ Instagram ซึ่งไม่มีการล็อคชื่อบัญชีหลังลงล็อกอินผิดหรือระบบสำหรับจำกัดจำนวนครั้งในการล็อกอิน หลังจากที่ลองเอา Username และ Password ออกจาก Request ที่เคยส่งไปตอนแรก เพื่อตรวจสอบ Response ที่ได้จาก Instagram แล้ว Swinnen ได้ทำ Brute Force มากกว่า 10,000 ครั้งจนได้ Username และ Password ที่ถูกต้อง จาก Response ยืนยันของ Instagram

รับเงินรางวัล $5,000 เหรียญ และอุดช่องโหว่เรียบร้อย

หลังจาก Facebook ได้รับแจ้งช่องโหว่ทั้งสองเมื่อเดือนธันวาคมและเดือนกุมภาพันธ์ที่ผ่านมา ก็ได้มอบเงินรางวัลให้แก่ Swinnen เป็นจำนวนสูงถึง $5,000 ตามเงื่อนไขของ Bug Bounty Program และได้ทำการอุดช่องโหว่ทั้งหมดเป็นที่เรียบร้อยเมื่อวันที่ 10 พฤษภาคมที่ผ่านมา พร้อมปรับ Password Policy ให้ผู้ใช้ทุกคนจำเป็นต้องมีรหัสผ่านที่แข็งแกร่งยิ่งขึ้น

ที่มา: http://thehackernews.com/2016/05/hack-instagram-account.html

from:https://www.techtalkthai.com/brute-force-vulnerabilities-found-on-instagram/

พบช่องโหว่ Zero-day บน Apple iMessage ช่วยถอดรหัสข้อมูล เข้าถึงรูปถ่ายบน iCloud

ทีมนักวิจัยจากมหาวิทยาลัย Johns Hopkins นำโดยศาสตราจารย์ Matthew Green จากภาควิชาวิทยาศาสตร์คอมพิวเตอร์ ค้นพบช่องโหว่ Zero-day ในการเข้ารหัสข้อมูลบน iMessage ของ iPhone/iPad ช่วยให้แฮ็คเกอร์สามารถดักจับข้อมูลที่ส่งหากันและถอดรหัสเพื่อเข้าถึงรูปภาพที่เก็บอยู่บนเซิฟเวอร์ iCloud ได้

Credit: CNET.com
Credit: CNET.com

ช่องโหว่บน Apple iOS ก่อนหน้าเวอร์ชัน 9.3

ตามรายงานของหนังสือพิมพ์ Washington Post เมื่อสุดสัปดาห์ที่ผ่านมา ระบุว่า ทีมนักวิจัยประสบความสำเร็จในการโจมตี iPhone ที่ไม่ได้ใช้งาน iOS เวอร์ชันล่าสุด โดยพัฒนาซอฟต์แวร์ที่เลียนแบบการทำงานของเซิฟเวอร์ของ Apple เพื่อดักจับข้อความ iMessage ที่ประกอบด้วยลิงค์ของรูปภาพที่เก็บอยู่บนเซิฟเวอร์ iCloud และ Key ขนาด 64 หลักสำหรับถอดรหัสรูปภาพดังกล่าว

ใช้วิธีการเดา Key แบบสุ่มไปเรื่อยๆ

ที่จริงแล้วตัวเลขและตัวอักษรของ Key ที่ใช้เข้ารหัสไม่สามารถมองเห็นได้ แต่ช่องโหว่ Zero-day นี้ช่วยให้นักวิจัยสามารถเดา Key จากการสุ่มตัวเลขและตัวอักษรส่งไปยัง iPhone ซ้ำๆ (Brute Force Attack) ถ้าพบเลขหรือตัวอักษรที่ถูกต้อง iPhone จะ Accept เลขหรือตัวอักษรนั้น ในขณะที่ถ้าไม่ถูกต้องก็จะถูก Reject หลังจากที่ทำการเดา Key ไปเรื่อยๆ ก็จะได้ตัวเลขและตัวอักษรทั้งหมดที่ประกอบกันเป็น Key ในการเข้ารหัส

ศาสตราจารย์ Matthew ยังระบุอีกว่า การโจมตีช่องโหว่ Zero-day นี้ยังคงใช้ได้ผลบน Apple iOS เวอร์ชันล่าสุด แต่จำเป็นต้องใช้นักเจาะระบบที่มีทักษะสูง และได้รับการสนับสนุนจากหน่วยงานรัฐบาลจึงจะโจมตีได้สำเร็จ

ช่องโหว่ไม่ได้เกิดจากวิธีการจัดเก็บหรือเข้ารหัสข้อมูลของ Apple

iMessage ของ Apple เป็นแอพพลิเคชันสำหรับรับส่งข้อความและรูปภาพที่มีการเข้ารหัสแบบ End-to-end นั่นหมายความว่า Apple เองก็ไม่ได้มีการเก็บกุญแจสำหรับเจ้ารหัสแต่อย่างใด แต่กุญแจสำหรับเข้ารหัสถูกเก็บไว้อยู่บน iPhone/iPad ซึ่งถือว่าเป็นแนวทางปฏิบัติที่ดี แต่แนวทางปฏิบัตินี้กลับกลายเป็นจุดอ่อนให้แฮ็คเกอร์สามารถโจมตีเพื่อเข้าถึงข้อมูลได้แทน

ช่องโหว่ดังกล่าวถูกแก้ไขไปบางส่วนใน iOS เวอร์ชัน 9 เมื่อปลายปี 2015 ที่ผ่านมา แต่จะถูกแก้ไขทั้งหมดใน iOS 9.3 ที่เปิดให้อัพเดทไปเมื่อวานนี้ (วันจันทร์ที่ 21 มีนาคม) แนะนำให้ผู้ใช้อุปกรณ์ของ Apple อัพเดทแพทช์เพื่ออุดช่องโหว่โดยเร็ว

ที่มา: https://www.helpnetsecurity.com/2016/03/21/ios-zero-day-breaks-imessage-encryption/

from:https://www.techtalkthai.com/zero-day-on-apple-imessage-leads-to-icloud-photo-decryption/

เปิดเผยช่องโหว่ Facebook หลังแพทช์ กลับถูกลบข้อความทิ้ง

The Hacker News เว็บข่าวด้าน Security ชื่อดังได้ออกมาเปิดเผยช่องโหว่ Password Reset Vulnerability บน Facebook สู่สาธารณะ หลังจากที่ทีม Facebook ได้รับแจ้งช่องโหว่และทำการแพทช์เป็นที่เรียบร้อย กลับถูกทีมงาน Facebook ลบโพสต์ดังกล่าวทิ้งไปอย่างเงียบๆ (อ่านรายละเอียดช่องโหว่ Facebook ได้ด่านล่าง)

พบช่องโหว่แฮ็คชื่อบัญชี Facebook

Anand Prakash ผู้เชี่ยวชาญด้าน Security อิสระ ค้นพบช่องโหว่การรีเซ็ตรหัสผ่านของ Facebook ซึ่งช่วยให้เขาสามารถแฮ็คชื่อบัญชี Facebook เพื่อดูข้อความการสนทนา ข้อความที่โพสต์ ข้อมูลบัตรเครดิตที่ผูกกับชื่อบัญชี หรือทำอย่างอื่นเสมือนเป็นเจ้าของบัญชี ซึ่งหลังจากที่ค้นพบช่องโหว่ Anand ได้แจ้งเรื่องยัง Facebook ผ่าน Bug Bounty Program ซึ่งทาง Facebook ก็ได้ทำการแพทช์ช่องโหว่ดังกล่าวเรียบร้อย และมอบเงินรางวัลให้ Anand สูงถึง $15,000 หรือประมาณ 530,000 บาท

เปิดเผยเรื่องราวสู่สาธารณะ กลับถูก Facebook ลบข้อความทิ้ง

ที่น่าสงสัยคือ หลังจากที่ Facebook จัดการช่องโหว่เป็นที่เรียบร้อย The Hacker News ก็ได้ออกมาเปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ดังกล่าวสู่สาธารณะ แต่หลังจากโพสต์ไปไม่นาน ก็ถูกทีมงาน Facebook ลบโพสต์ทิ้งไป ไม่สามารถเข้าถึงได้ จนถึงตอนนี้ก็ยังไม่ได้รับคำชี้แจงใดๆ จาก Facebook

facebook_bounty_program_1

รายละเอียดเกี่ยวกับ Password Reset Vulnerability

ช่องโหว่นี้แฝงตัวอยู่ในโดเมน Beta ของ Facebook ที่จัดการคำร้องขอเรื่อง “Forgot Password” ในกรณีที่ผู้ใช้ลืมรหัสผ่าน คำร้องขอนี้จะช่วยให้ผู้ใช้สามารถเปลี่ยนรหัสผ่านได้ใหม่ผ่านกระบวนการ Password Reset ซึ่งผู้ใช้จะต้องทำการยืนยันรหัส 6 หลักที่จะถูกส่งไปยังอีเมลหรือเบอร์โทรศัพท์ที่ได้ลงทะเบียนไว้กับชื่อบัญชี

โดยปกติแล้ว Facebook จะยอมให้ยืนยันรหัส 6 หลักได้ประมาณ 10 ครั้งติดต่อกัน ก่อนจะบล็อกไม่ให้ใส่รหัสอีกต่อไป เพื่อป้องกันการโจมตีแบบ Brute Force อย่างไรก็ตาม Anand พบว่า Facebook ไม่ได้ทำการจำกัดจำนวนครั้งที่ใส่รหัสบนไซต์ Beta ของตนเอง ได้แก่ beta.facebook.com และ mbasic.beta.facebook.com ส่งผลให้ Anand สามารถทำการ Brute Force ใส่รหัส 6 หลักเข้าไปเรื่อยๆ จนกระทั่งเจอรหัสที่ถูกต้องได้

หลังจากนั้น Anand สามารถเปลี่ยนรหัสผ่าน Facebook ของเหยื่อมเป็นรหัสใหม่ และใช้ Facebook ได้เสมือนเป็นเจ้าของที่แท้จริง ดูรายละเอียดการ Proof-of-Concept (POC) ได้ตามวิดีโอด้านล่าง

ที่มา: http://thehackernews.com/2016/03/hack-facebook-account.html

from:https://www.techtalkthai.com/facebook-silently-deleted-post-about-its-vulnerability/