คลังเก็บป้ายกำกับ: MOBILE_ENTERPRISE

นักวิจัยชี้ช่องโหว่ใหม่ในการโจมตีด้วย CSS ทำให้ iPhone รีสตาร์ทหรือ Mac ค้างได้

Sabri Haddouche นักวิจัยด้านความมั่นคงปลอดภัยจาก Wire ได้เผยถึงการโจมตีด้วย CSS สามารถทำให้ iOS เกิดการรีสตาร์ทหรือทำให้เครื่อง Mac ค้างได้ เพียงแค่ผู้ใช้งานเข้าไปเว็บเพจที่มีการใช้งาน CSS และ HTML ที่ผู้โจมตีต้องการ อย่างไรก็ตามผู้ใช้งาน Windows และ Linux ไม่ได้รับผลกระทบ

Credit: Apple

Haddouche เล่าว่าไอเดียคือ “ผู้โจมตีสามารถใช้งานจุดอ่อนของคุณสมบัติของ CSS คือ -webkit-backdrop-filter” และ “ด้วยการใช้คุณสมบัติดังกล่าวหลายๆ ชั้น (nest) เราสามารถทำให้เกิดการใช้ทรัพยากรของอุปกรณ์และทำให้ระบบปฏิบัติการค้างได้ นอกจากนี้การโจมตีไม่ต้องอาศัย JavaScript ช่วยเลย อีกทั้งยังสามารถใช้งานได้บนอีเมลอีกด้วย คือ macOS จะทำให้หน้า UI ค้างส่วน iOS จะทำให้เกิดการรีสตาร์ทได้” อย่างไรก็ตามการโจมตีดังกล่าวส่งผลกระทบกับทุก Browser บน iOS และบนอีเมลของ macOS ด้วยสาเหตุเพราะมีการใช้ WebKit เพื่อแสดงผลเหมือนกัน

ผู้ใช้งาน iOS จะเกิดผลลัพธ์จากการโจมตี 2 กรณีจากการทดสอบคือ

  • เกิดการ Respring หรือเกิดการรีสตาร์ทหน้า UI (SpringBoard) บน iOS 11.4.1
  • เกิดการรีสตาร์ทตัวเองเพราะ Kernel ตอบสนองกับการกินทรัพยากรมากๆ บน iOS 12

ในส่วนของผู้ใช้งาน macOS นั้นจะทำให้เครื่องค้างและช้าลงแต่ก็สามารถแก้ไขได้ด้วยการปิดแท็บของ Safari ไปเพื่อหยุดการโจมตี โดยยังไม่มีวิธีการบรรเทาปัญหา ดังนั้นในระหว่างรอทาง Apple แก้ปัญหาทางนักวิจัยก็ได้เตือนให้ผู้ใช้ระมัดระวังในการเข้าลิงก์ที่ไม่น่าไว้ใจ ผู้สนใจสามารถลองเข้าไปทดสอบได้ที่ rawgit.com หรือไปศึกษารายละเอียดเชิงลึกส่วนการใช้ CSS ได้ที่ GitHub สามารถชมวีดีโอสาธิตได้ตามด้านล่าง

ที่มา : https://www.bleepingcomputer.com/news/security/new-css-attack-restarts-an-iphone-or-freezes-a-mac/  

from:https://www.techtalkthai.com/researcher-shows-css-attack-made-ios-restart-or-macos-freeze/

Advertisements

Google ออกแพตช์สำหรับ Android อุตช่องโหว่กว่า 50 รายการ

Google ได้ออกแพตช์ของ Android ที่แก้ไขช่องโหว่ด้านความมั่นคงปลอดภัยประจำเดือนกันยายน 2018 กว่า 50 รายการในตัวระบบปฏิบัติการ ซึ่งช่องโหว่ระดับร้ายแรงสามารถนำไปสู่การการยกระดับสิทธิ์และ Remote Code Execution ดังนั้นแนะนำผู้ใช้ควรอัปเดต

Credit: ShutterStock.com

5 ช่องโหว่ในแพตช์ชุด 2018-09-01 ที่ถูกจัดอยู่ว่าร้ายแรงประกอบด้วยช่องโหว่ที่นำไปสู่การยกระดับสิทธิ์และ Remote Code Execution โดย Google กล่าวในคำแนะนำว่า “ช่องโหว่ในระดับร้ายแรงหลายรายการเกิดกับ Media Framework ที่ทำให้แฮ็กเกอร์สามารถประดิษฐ์ไฟล์เพื่อลอบรันโค้ดได้ในบริบทของโปรเซสที่มีสิทธิ์ระดับสูง” นอกจากนี้ยังมีการแก้ไขช่องโหว่ความร้ายแรงระดับสูงและกลางอื่นๆ ด้วย โดย Android รุ่นที่ได้รับผลกระทบจากช่องโหว่ดังกล่าวคือเวอร์ชัน 7.0, 7.1.1, 7.1.2, 8.0, 8.1 และ 9.0 (มีบางรายการกระทบเฉพาะรุ่น 8.0 ขึ้นไป)

แพตช์ชุด 2018-09-05 ได้แก้ไขช่องโหว่ร้ายแรง 6 รายการและรุนแรงสูง 27 รายการ รวมถึง 2 รายการเป็นช่องโหว่ระดับกลาง โดย Bug จะเกิดใน Framework, ส่วนประกอบของ Kernel และ Qualcomm เป็นต้น

ที่มา : https://www.securityweek.com/android-september-2018-patches-fix-critical-flaws

from:https://www.techtalkthai.com/google-releases-android-patch-for-september-2018/

สมาร์ทโฟนกว่า 11 ยี่ห้ออาจถูกโจมตีด้วย AT Command ได้

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจากมหาวิทยาลัยฟลอริด้า, มหาวิทยาลัย Stony Brook University และ Samsung Research America ผนึกกำลังกันศึกษาพบว่าสมาร์ทโฟนที่เป็น OEM Android หลายยี่ห้อมีช่องโหว่จากการโจมตีด้วย AT Command ได้ เช่น ASUS, Google, HTC, Huawei, Lenovo, LG, LineageOS, Motorola, Samsung, Sony และ ZTE เป็น

Credit: CLIPAREA/ShutterStock

AT (ATtension) Command หรือ Hayes Command set (ถูกคิดมาตั้งแต่ 1981) คือชุดคำสั่ง String สั้นๆ ที่ถูกออกแบบมาเพื่อควบคุมโมเดมและสามารถส่งผ่านทางสายโทรศัพท์ได้ โดยชุดคำสั่งนี้สามารถจับรวมกันเพื่อบอกให้โมเดลทำการเชื่อมต่อ วางสายหรือเปลี่ยนพารามิเตอร์ในการเชื่อมต่อใหม่ได้ ประเด็นคือผู้ผลิตสมาร์ทโฟนปัจจุบันก็มีการรองรับคำสั่งเหล่านี้เพื่อประโยชน์ในการเชื่อมต่ออินเทอร์เน็ตผ่านฟังก์ชันโทรศัพท์ได้และอื่นๆ อันที่จริงแล้วก็มีชุดคำสั่งมาตรฐานที่สมาร์ทโฟนทั่วไปต้องรับได้อยู่ แต่หลายผู้ผลิตก็ทำเกินกว่านั้นโดยเพิ่มคำสั่งขั้นสูงเข้าไปในอุปกรณ์ของตัวเอง ดังนั้นจึงเป็นเหตุให้มีอันตรายจากคำสั่ง เช่น ฟีเจอร์ที่เกี่ยวกับอินเทอร์เฟสการทัชสกรีน หรือ ตัวกล้องและอื่นๆ

หลังจากนักวิจัยได้ศึกษาในประเด็นที่ว่าอุปกรณ์ Android ปัจจุบันรองรับคำสั่ง AT ชนิดไหนบ้างจากอิมเมจเฟิร์มแวร์กว่า 2,000 ตัวก็พบว่ามีคำสั่งกว่า 3,500 ชนิดที่มีบางส่วนได้รับสิทธิ์ในการใช้งานที่อาจจะส่งผลร้ายแรง ในส่วนของข้อกำหนดในการใช้งานคือคำสั่ง AT สามารถทำได้ผ่านอินเทอร์เฟส USB ของโทรศัพท์และต้องเปิดฟังก์ชัน Debugging บน USB ไว้ด้วยเท่านั้น จากนั้นตัวอย่างสถานการณ์เช่น ผู้โจมตีอาจจะซ่อนส่วนประกอบอันตรายไว้ในที่ชาร์จหรือตามจุดชาร์จต่างๆ หากเข้าถึงตัว USB ได้จริงผู้ร้ายสามารถใช้คำสั่งไปยังมือถือเหยื่อเพื่อเขียนทับเฟิร์มแวร์ บายพาสความมั่นคงปลอดภัยของ Android นำข้อมูลละเอียดอ่อนของมือถือออกมา ปลดล็อคหน้าจอ เป็นต้น

นักวิจัยได้แจ้งค่ายมือถือที่เกี่ยวของแล้วและนับเป็นโชคดีที่คำสั่ง AT เหล่านี้ไม่สามารถหาเอกสารได้ง่ายๆ ทั่วไป และงานต่อไปคือนักวิจัยกำลังเล็งทดสอบคำสั่ง AT กับอุปกรณ์ค่าย Apple รวมทั้งหากสามารถใช้คำสั่ง AT ผ่านทางไกล เช่น WiFi หรือ Bluetooth ได้ก็อาจจะทำต่อด้วย ผู้สนใจสามารถดูโมเดลของมือถือค่ายต่างๆ ที่ได้รับผลกระทบได้ที่นี่ และคำสั่ง Shell Script ที่นักวิจัยใช้ระหว่างการทดลองไว้ที่นี่ด้วย หากต้องการศึกษาหัวข้อเต็มก็ไปอ่านได้ที่ “ATtention Spanned : Comprehensive Vulnerability Analysis of AT Commands Within the Android Ecosystem

คลิปสาธิตการโจมตีกับ LG G4

ที่มา : https://www.bleepingcomputer.com/news/security/smartphones-from-11-oems-vulnerable-to-attacks-via-hidden-at-commands/

from:https://www.techtalkthai.com/several-modern-smartphones-are-vulnerable-by-at-command-attack/

Nutanix เปิดบริการ Cloud Desktop-as-a-Service รองรับทั้ง AWS และ Azure

หลังจากที่ Nutanix ได้ประกาศเข้าซื้อกิจการของ Fra.me ผู้พัฒนาเทคโนโลยี Virtual Desktop บน Cloud ทาง Nutanix ก็ได้นำเทคโนโลยีของ Fra.me มาเสริมใน Nutanix Xi Cloud Services เปิดเป็นบริการ Desktop-as-a-Service (DaaS) แล้ว

 

Credit: Nutanix

 

Virtual Desktop Infrastructure หรือ VDI นั้นถือเป็นตลาดแรกๆ ที่ Nutanix เริ่มเข้ามาจับ จนเมื่อพัฒนาเทคโนโลยีและสามารถรองรับ Use Case ภายใน Data Center ได้อย่างหลากหลายยิ่งขึ้น ทาง Nutanix เองก็มองว่า VDI เองยังคงเป็นตลาดที่มีการเติบโต โดยเฉพาะอย่างยิ่งการให้บริการ VDI บน Cloud หรือ DaaS นั่นเอง

เทคโนโลยีของ Fra.me ที่ถูกซื้อเข้ามาเสริมนี้ จะทำให้ Nutanix Xi Cloud Services สามารถทำการเชื่อมต่อไปยัง AWS และ Microsoft Azure เพื่อสั่งสร้าง Virtual Desktop และบริหารจัดการได้จากศูนย์กลาง ทำให้เหล่าองค์กรมีทางเลือกมากยิ่งขึ้นในการใช้งาน Virtual Desktop และตอบโจทย์ Multi-Cloud ในบริการ DaaS ได้

ข้อดีของการใช้งาน DaaS ที่เหนือกว่า VDI นั้นก็คือเรื่องของความยืดหยุ่นในการเลือกใช้ Hardware ประเภทต่างๆ ได้ตามต้องการ เช่น การใช้เครื่องที่มี GPU บน Cloud เพื่อรองรับการประมวลผลทางด้านกราฟฟิก, การปรับแต่ง CPU และ Memory รวมถึง Storage ได้อย่างยืดหยุ่น ไปจนถึงการเปรียบเทียบค่าใช้จ่ายจากผู้ให้บริการแต่ละรายและเลือกใช้บริการที่เหมาะสมคุ้มค่าที่สุดได้อยู่ตลอด

หลังจากนี้ทีมงานของ Fra.me ที่ได้กลายเป็นส่วนหนึ่งของทีม Nutanix ไปแล้วก็จะทำการพัฒนาบริการใหม่ๆ ออกมาเรื่อยๆ เพื่อรองรับความต้องการใช้การใช้งาน Desktop และ Application บน Cloud สำหรับองค์กรต่อไป

 

ที่มา: https://www.nutanix.com/2018/08/02/desktops-service-no-cloud-lock-frame-nutanix-xi-cloud-services/

from:https://www.techtalkthai.com/nutanix-launches-desktop-as-a-service/

AMD Radeon PRO V340 การ์ด GPU สำหรับรองรับ Virtual Desktop รุ่นใหม่ออกแล้ว

ในงาน VMworld 2018 ทาง AMD ได้ออกมาประกาศเปิดตัว vGPU รุ่นล่าสุด AMD Radeon PRO V340 สำหรับรองรับงานแสดงผลภาพความซับซ้อนสูงภายใน Data Center โดยเฉพาะ ซึ่งครอบคลุมถึง CAD, งานออกแบบ, ระบบ Desktop-as-a-Service (DaaS) และการ Render ภาพต่างๆ โดยมีจุดเด่นที่น่าสนใจดังนี้

 

Credit: AMD

 

  • รองรับ 1GB Virtual Machine ได้ 32 เครื่อง
  • มี Encode Engine ในตัว ทำให้สามารถบีบอัด Video Stream ได้ทั้งแบบ H.264 และ H.265
  • ใช้หน่วยความจำ HBM2 ที่มี Error Correcting Code (ECC) ในตัว ทำให้มีประสิทธิภาพและความเร็วสูงขึ้น
  • มี Secure Boot และ Encrypted Storage ในตัว เพิ่มความมั่นคงปลอดภัย

AMD Radeon PRO V340 นี้คาดว่าจะวางจำหน่ายในไตรมาสที่ 4 ของปี 2018 นี้ผ่านทาง OEM Partner

 

ที่มา: https://www.storagereview.com/amd_introduces_radeon_pro_v340

from:https://www.techtalkthai.com/amd-radeon-pro-v340-vgpu-is-announced/

แอปพลิเคชันมือถือที่ช่วยยืดการใช้งานแบตได้ถึง 25%

ทีมนักวิจัยจากมหาวิทยาลัย Waterloo ในแคนนาดาได้พัฒนาแอปพลิเคชันที่ช่วยลดการกินไฟบนมือถือ Android ได้ระหว่าง 10-25% โดยไม่ส่งผลกระทบในด้านประสิทธิภาพ

Credit: ShutterStock.com

ปัญหาคือ Android ตั้งแต่เวอร์ชัน 7.0 (Nougat) ได้อนุญาตให้เปิดหลายหน้าต่างและไฟล์ได้ในเวลาเดียวกันเหมือนกับการทำงานของคอมพิวเตอร์ ซึ่งก่อให้เกิดการใช้พลังงานโดยไม่จำเป็นจากแอปเบื้องหลัง ดังนั้นนักวิจัยจึงได้ใช้แนวคิดที่ว่าไปเขียนแอปพลิเคชันเพื่อลดความสว่างของแอปพลิเคชันที่ไม่จำเป็นและผลปรากฎจากการทดสอบผู้ใช้จำนวน 200 คนประหยัดการใช้พลังงานไปได้ระหว่าง 10 ถึง 25% เลยทีเดียว

นักวิจัยกล่าวว่า “เมื่อมีการใช้พลังงานมากโทรศัพท์ก็จะร้อนขึ้นเรื่อยๆ แถมยังต้องชาร์จบ่อยอีกซึ่งเป็นการลดอายุของตัวแบตเตอรี่จากที่ควรใช้ได้ 3 ปีก็เหลือแค่ 2 ปีเท่านั้น” ผู้ใช้อย่างเราคงรอว่าเมื่อไหร่จะปล่อยออกมาให้ใช้จริง

ที่มา : https://cacm.acm.org/news/230501-mobile-app-extends-smartphone-battery-10-25/fulltext

from:https://www.techtalkthai.com/save-energy-android-application/

SIM Card Fraud ภัยร้ายที่ควรระวัง

ปัจจุบันเราใช้ 2-factors Authentication กันอย่างแพร่หลายและหนึ่งในปัจจัยการพิสูจน์ตัวตนลำดับที่สองนั้นมักจะเป็นมือถือของเรานั่นเอง ดังนั้นผู้ร้ายในปัจจุบันจึงได้คิดวิธีการข้ามขั้นว่าทำอย่างไรจะสามารถผ่านการป้องกันตรงนี้โดยไม่ต้องเหนื่อยด้านเทคนิคมาแฮ็กเครื่องของเราและหนึ่งในนั้นก็คือวิธีการปลอมแปลง SIM Card นั่นเอง ซึ่งเรื่องจริงเป็นอย่างไรทางบล็อกของ Symantec ได้ตีแผ่ถึงเหตุการณ์จริงที่เกิดขึ้นในต่างประเทศและนำเสนอแนวทางบรรเทาปัญหาที่สามารถนำไปใช้ได้

Credit: ShutterStock.com

หากมีข้อความเข้าตอนเที่ยงคืนเชื่อว่าหลายคนคงไม่สนใจแน่นอนแม้เป็นข้อความว่า “กำลังมีการติดต่อไปทางผู้ให้บริการและอ้างตัวว่าเป็นคุณนะ! ใช่คุณจริงไหมถ้าไม่ใช่กรุณาติดต่อเรากลับ” เรื่องมีอยู่ว่านาย Cody Brown วิศวกรซอฟต์แวร์ในบริษัทแห่งหนึ่งได้ติดต่อกลับไปยังผู้ให้บริการแต่ทำไม่ได้เพราะเกิดเหตุขึ้นแล้ว! ซึ่งไม่กี่นาทีต่อมา Gmail และ Coinbase ก็ถูกเปลี่ยนรหัสผ่าน ไม่นานหัวขโมยก็ถอนเงินออกจาก Coinbase คิดเป็นเงินประมาณ 8,000 ดอลล่าร์สหรัฐฯ เรื่องราวทั้งหมดถูกเขียนไว้บนบล็อกออนไลน์ของนาย Brown ว่า “หลังจากหารือกลับผู้ให้บริการพบว่าหัวขโมยสามารถหลอกหน่วยดูแลลูกค้าของผู้ให้บริการ โดยไม่ต้องมีการแจ้งเลขประกันสังคมหรือเลข Pin เลย จากนั้นหัวขโมยก็ได้รับสิทธิ์เข้าควบคุมเบอร์ผมด้วยการใช้ข้อมูลจากบิลโทรศัพท์ธรรมดาๆ” อีกกรณีหนึ่งคือ John Biggs นักเขียนจาก TechCrunch ก็โดนแอบอ้างตัวกับผู้ให้บริการสำเร็จเช่นกันแต่เคราะห์ดีที่ครั้งนี้ผู้ให้บริการสามารถกู้การเปลี่ยนแปลงกลับมาได้หลังจากที่ถูกเปลี่ยนรหัสผ่าน Facebook และอีเมลไปแล้ว

อันที่จริงแล้ว Subscriber identity module หรือที่เรียกว่า SIM ของเรานั้นทำหน้าที่ไว้เข้ารหัสด้านความมั่นคงปลอดภัยในการใช้มือถือของเรานั่นเอง โดยในชิปของซิมโทรศัพท์นั้นมีข้อมูลจากโรงงานคือ International Mobile Subscriber Identity (IMSI) ซึ่งทำหน้าที่เป็นชื่อผู้ใช้และเลข Key Identification ความยาว 128 บิตทำหน้าที่เป็นรหัสผ่าน สิ่งที่เกิดขึ้นง่ายมากคือคนร้ายได้รวบรวมข้อมูลบิลค่าใช้จ่ายของเหยื่อจากนั้นก็โทรไปปลอมตัวเป็นเหยื่อกับทีมดูแลลูกค้าพร้อมกับแจ้งย้ายซิมไปยังโทรศัพท์ใหม่ หากทำสำเร็จข้อความและการโทรต่างๆ ก็จะผ่านไปยังโทรศัพท์ของคนร้ายนั่นเอง ซึ่งเหยื่อก็จะถูกตัดออกจากเครือข่ายและไม่สามารถใช้งานต่อไปได้ปัญหาคือปกติแล้วเรามีเบอร์ส่วนตัวกันแค่เบอร์เดียว นี่ไม่ใช่วิธีการใหม่แต่ก็สามารถใช้งานสู้กับการป้องกันแบบ 2-factors Authentication ที่อาศัยการส่งข้อความผ่านระบบมือถือได้เพราะในที่สุดแล้วจุดอ่อนจริงๆ ของระบบคือ ‘มนุษย์’ นั่นเอง

ในฝั่งการป้องกันทาง Symantec แนะว่า

  • ผู้ให้บริการต้องรักษามาตรการไม่ให้ย้าย SIM Card หากไม่มีการแสดงตัวจริงต่อหน้าเจ้าหน้าที่
  • ผู้ให้บริการหลายแห่งมักมีการป้องกันการร้องขอย้ายซิมจากสถานที่ห่างไกลกับจุดลงทะเบียนซิมอยู่แล้ว เช่น สายอยู่ต่างประเทศแต่เคยลงทะเบียนเปิดเบอร์ไว้ที่กรุงเทพฯ เป็นต้น
  • ผู้ใช้งานเองสามารถใช้ 2-Factors Authentication ผ่านแอปพลิเคชันแทนได้ เช่น Google Authenticator, Symantec หรือ Duo Security (Cisco เพิ่งซื้อไป)
  • ผู้ใช้งานเองสามารถขอให้ผู้ให้บริการเพิ่มการใช้โค้ด PIN กับบัญชีของตนเพื่อป้องกันการเปลี่ยนแปลงโดยไม่ได้รับอนุญาตได้ ทั้งนี้ก็ขึ้นกับผู้ให้บริการเองด้วย

ที่มา : https://www.symantec.com/blogs/expert-perspectives/sim-swapping-poses-new-problems-phone-security

from:https://www.techtalkthai.com/sim-card-fraud-is-upcoming-threat/