คลังเก็บป้ายกำกับ: THREATS_UPDATE

พบแคมเปญมัลแวร์ใหม่ดัดแปลงการโจมตีเพื่อเลี่ยงการตรวจจับจาก Antivirus

Cisco Talos ได้พบกับแคมเปญของมัลแวร์ใหม่ที่ได้ดัดแปลงขั้นตอนการใช้งานช่องโหว่บน Word เพื่อหลีกเลี่ยงการตรวจจับจาก Antivirus โดยช่องโหว่ที่ถูกใช้คือ CVE-2017-0199 และ CVE-2017-11882 ซึ่งเมื่อทำสำเร็จจะติดตั้งมัลแวร์ 3 ตัวที่มุ่งเน้นขโมยข้อมูลคือ Agent Tesla, Loki และ Gamarue

credit : BleepingComputer

ไอเดียคือการโจมตีจะเริ่มด้วยอีเมลที่แนบไฟล์ Word (DOCX) เพื่อให้เหยื่อดาวน์โหลดตามปกติแต่จะมีการเปิดไฟล์ RTF (Rich Text Format หรือรูปแบบไฟล์เอกสารเดิมของ Microsoft ถูกพัฒนาระหว่างปี 1987-2008) ซึ่งตรงนี้เองคือกุญแจในการนำส่ง Payload อันตรายเพื่อเรียกมัลแวร์เข้ามาโดยไม่ถูกจับได้ โดยข้อความเนื้อหาอันตรายจะแอบอยู่ภายในไฟล์ RTF ตามภาพด้านบนที่รองรับการฝัง Object ผ่าน OLE (Object Linking and Embedding) ประเด็นคือตัว Parser RTF มักจะละเลยข้อความที่ตัวเองไม่รู้จัก ดังนั้นจึงถูกใช้แฝงโค้ดเจาะระบบได้ อย่างไรก็ตามในเหตุการณ์นี้ผู้ใช้งานไม่ต้องเข้าไปตั้งค่า Word หรือคลิกอะไรเพิ่มเติมเพื่อทำให้กระบวนการสำเร็จเลย

นอกจากนี้เมื่อ Cisco Talos วิเคราะห์เข้าไปถึงภายในพบว่าแฮ็กเกอร์ยังได้แก้ไข Header ของ OLE (ตามรูปด้านล่าง) เพื่อให้ดูเหมือนเป็น Tag ของฟอนต์แต่อันที่จริงแล้วคือการใช้ช่องโหว่ CVE-2017-11882 ที่ทำให้เกิด Memory Corruption ใน Office อีกด้วย มัลแวร์ที่ถูกนำเข้ามาทั้ง 3 ตัวคือ Agent Tesla หรือ Trojan ที่มีฟีเจอร์แอบขโมยข้อมูลรหัสผ่านของแอปต่างๆ เช่น Browser Email หรือ FTP, Loki คอยดูรหัสผ่านและสนใจพวก Wallet ของ Cyptocurrency และสุดท้าย Gamarue เป็น Worm ที่สามารถกระจายตัวเองออกไปได้ผ่านทางช่องโหว่อย่างรวดเร็วซึ่งมีเพียง Loki เท่านั้นที่ไม่มีฟีเจอร์ให้ควบคุมจากภายนอกเข้ามาได้ อย่างไรก็ดีมี Antivirus เพียง 2 เจ้าจาก 58 รายใน VirusTotal เท่านั้นที่สามารถตรวจจับการโจมตีได้คือ AhnLab-V3 ที่พบว่าเป็นมัลแวร์ ส่วนอีกเจ้าคือ  Zoner ที่แจ้งเพียงว่าเป็น RTF เวอร์ชันไม่ปกติ ผู้สนใจสามารถดูรายงานแบบละเอียดจาก Cisco Talos ได้ที่นี่

credit : BleepingComputer

ที่มา : https://www.bleepingcomputer.com/news/security/new-technique-recycles-exploit-chain-to-keep-antivirus-silent/

from:https://www.techtalkthai.com/new-campaign-for-spread-malware-evasion-to-trigger-antivirus/

Advertisements

Facebook ออกแถลงการณ์ สรุป 30 ล้านบัญชีถูกแฮ็ก พร้อมเปิดให้ตรวจสอบว่าได้รับผลกระทบหรือไม่

หลังจากที่มีข่าว Facebook เกิดเหตุ Data Breach ครั้งใหญ่ที่สุดในประวัติการณ์เมื่อปลายเดือนกันยายนที่ผ่านมา ส่งผลให้แฮ็กเกอร์สามารถขโมย Access Token ลับของผู้ใช้กว่า 50 ล้านคนผ่านฟีเจอร์ “View As” ออกไปได้ ล่าสุด Facebook ได้ออกแถลงการณ์ ระบุแท้จริงแล้วมีบัญชีผู้ใช้เพียง 30 ล้านรายชื่อเท่านั้นที่ได้รับผลกระทบ พร้อมเปิดให้ผู้ใช้ตรวจสอบว่าตนเองได้รับผลกระทบหรือไม่

Credit: JaysonPhotography/ShutterStock.com

Guy Rosen รองประธานฝ่ายบริหารผลิตภัณฑ์ของ Facebook ออกแถลงการณ์ผ่าน Blog เมื่อสุดสัปดาห์ที่ผ่านมา ระบุว่าหลังจากที่ Facebook ได้ทำการตรวจสอบเหตุการณ์ Data Breach โดยละเอียด สรุปว่ามีประมาณ 30 ล้านบัญชีรายชื่อที่แฮ็กเกอร์สามารถเข้าถึงข้อมูลของผู้ใช้ได้สำเร็จ โดยมีรายละเอียด ดังนี้

  • สำหรับผู้ใช้ Facebook ประมาณ 15 ล้านคน แฮ็กเกอร์สามารถเข้าถึงข้อมูลได้ 2 ชุด คือ ชื่อผู้ใช้และข้อมูลการติดต่อ ได้แก่ หมายเลขโทรศัพท์ อีเมล และข้อมูลอื่นๆ ขึ้นอยู่กับว่าผู้ใช้มีการใส่ข้อมูลใดไว้ในโปรไฟล์บ้าง
  • สำหรับผู้ใช้ Facebook ประมาณ 14 ล้านคน แฮ็กเกอร์สามารถเข้าถึงข้อมูลของผู้ใช้ได้มากกว่า 2 ชุดแรกที่กล่าวไป ได้แก่ เพศ ภาษา สถานะความสัมพันธ์ ศาสนา บ้านเกิด ที่อยู่ปัจจุบัน วันเกิด อุปกรณ์ที่ใช้เล่น Facebook การศึกษา ที่ทำงาน บุคคลหรือเพจที่กำลังติดตามอยู่ และอื่นๆ
  • ที่เหลืออีก 1 ล้านคน แฮ็กเกอร์ไม่ได้เข้าถึงข้อมูลผู้ใช้เหล่านั้น

อย่างไรก็ตาม Rosen ยืนยันว่าแฮ็กเกอร์ไม่สามารถเข้าถึงข้อมูลแอปพลิเคชันของ 3rd Parties เช่น Messenger, Messenger Kids, Instagram, WhatsApp, Oculus, Workplace, Pages, Payments รวมไปถึงข้อมูลบัญชีสำหรับนักพัฒนาและการโฆษณาได้

สำหรับผู้ที่ต้องการตรวจสอบว่าตนเองตกเป็นเหยื่อของเหตุการณ์ Data Breach ครั้งนี้หรือไม่ สามารถเข้าไปเช็คด้วยตนเองได้ที่ Facebook Help Center

นอกจากนี้ Facebook ยังระบุว่า ทางบริษัทจะรีบแจ้งไปยังผู้ใช้ทั้ง 30 ล้านคนที่ได้รับผลกระทบเพื่ออธิบายถึงเหตุการณ์ที่เกิดขึ้น ข้อมูลที่แฮ็กเกอร์อาจขโมยไป รวมไปถึงขั้นตอนที่จะช่วยให้พวกเขาปกป้องตัวเองจากการถูกโจมตีแบบ Phishing เช่น อีเมล ข้อความ หรือโทรศัพท์ที่ไม่น่าไว้วางใจในอนาคต

จนถึงตอนนี้ ยังไม่ทราบว่าแฮ็กเกอร์ที่อยู่เบื้องหลังเหตุการณ์ Data Breach เป็นใคร ทาง Facebook กำลังร่วมมือกับ FBI, US Federal Trade Commission, Irish Data Protection Commission และหน่วยงานกำกับดูแลที่เกี่ยวข้องเพื่อทำการสืบสวนในรายละเอียดเชิงลึกต่อไป

ที่มา: https://thehackernews.com/2018/10/hack-facebook-account.html

from:https://www.techtalkthai.com/30-milllion-facebook-accounts-were-hacked/

Cryptomining โค่น Ransomware ครองตำแหน่งภัยคุกคามอันดับหนึ่งในปี 2018

Webroot ผู้ให้บริการโซลูชัน Endpoint Protection แบบ All-in-one ออกรายงานสรุปแนวโน้มด้านภัยคุกคามล่าสุดในครึ่งปีแรกของปี 2018 พบ Cryptomining และ Cryptojacking กลายเป็นภัยคุกคามอันดับหนึ่งในปัจจุบัน แทนที่ Ransomware ที่เริ่มมีการแพร่ระบาดน้อยลง

รายงานของ Webroot ระบุว่า ครึ่งปีแรกของปี 2018 แนวโน้มภัยคุกคามเริ่มเปลี่ยนจาก Ransomware ไปเป็น Crytomining อย่างเห็นได้ชัด โดยภัยคุกคามประเภทมัลแวร์ รวมไปถึง Ransomware และ Cryptomining กินส่วนแบ่งมากถึง 52% โดยเฉพาะอย่างยิ่ง Nonvonsensual Cryptomining หรือที่เรียกว่า Cryptojacking นั้น Alex de Vries ผู้เชี่ยวชาญด้าน Blockchain คาดการณ์ไว้ว่า จะก่อให้เกิดการบริโภคพลังงานไฟฟ้าถึง 3% ของพลังงานไฟฟ้าที่ใช้ทั่วโลกภายในปี 2020

การโจมตีแบบ Cryptojacking นั้นมีปริมาณสูงถึง 35% ของภัยคุกคามทั้งหมด ซึ่ง Webroot พบว่า ในแต่ละวันมีคนเข้าถึงเว็บไซต์ที่รันสคริปต์ Cryptojacking มากถึง 3% จากหลายล้าน URL Requests โดย Xxgasm.com เป็นโดเมน Cryptojacking ที่ถูกเข้าถึงมากที่สุด คิดเป็น 31% ตามมาด้วย Coinhive.com 28%

สถิติทางด้านภัยคุกคามและความมั่นคงปลอดภัยอื่นๆ ที่น่าสนใจ

  • 75% ของผู้ใช้งานทั่วไปและ 40% ของผู้ใช้ในองค์กรหันมาใช้ระบบปฏิบัติการ Windows 10 ซึ่งมีความมั่นคงปลอดภัยสูงกว่า
  • Ransomware ใช้ช่องทาง Remote Desktop Protocol (RDP) ที่ไม่มั่นคงปลอดภัยในการแพร่กระจายตัวไปยังเป้าหมายมากขึ้น
  • การโจมตีแบบ Phishing มีปริมาณเพิ่มขึ้นจากเดือนมกราคม 2018 ถึง 60%
  • Dropbox กลายเป็นบริษัทที่ถูกนำไปหลอกเหยื่อเพื่อโจมตีแบบ Phishing มากที่สุด คิดเป็น 17% แซงหน้า Google เป็นที่เรียบร้อย
  • การอบรมเพื่อสร้างความตระหนักด้านความมั่นคงปลอดภัยกลายเป็นองค์ประกอบสำคัญของกลยุทธ์ด้านความมั่นคงปลอดภัยขององค์กรในปี 2018
  • การอบรมเพื่อสร้างความตระหนักและการจำลองสถานการณ์โจมตีแบบ Phishing ช่วยลดความเสี่ยงของการกดลิงค์ Phishing ให้เหลือน้อยกว่า 33%

ผู้ที่สนใจสามารถอ่านรายงานฉบับเต็มได้ที่: https://www-cdn.webroot.com/2615/3756/6771/Webroot_Threat_Report_Mid-Year_Update_Sept_18_US.pdf

ที่มา: https://www.webroot.com/us/en/about/press-room/releases/cryptomining-dethrones-ransomware-as

from:https://www.techtalkthai.com/cryptomining-dethrones-ransomware-as-top-threat-in-2018/

Microsoft ออกแพตช์เดือนตุลาคมแก้ไขช่องโหว่กว่า 50 รายการ

Microsoft ได้ปล่อยแพตช์ของวันอังคารประจำเดือนตุลาคมมาแล้ว ซึ่งได้แก้ไขช่องโหว่ถึง 50 รายการและ 12 รายการนั้นจัดเป็นช่องโหว่ร้ายแรง นอกจากนี้แพตช์นี้ยังได้แก้ไขช่องโหว่ Zero-day ที่ทาง Kaspersky ได้พบการใช้งานแล้วในกลุ่มแฮ็กเกอร์ที่ปฏิบัติการ APT

Credit: alexmillos/ShutterStock

ช่องโหว่ Zero-day หมายเลข CVE-2018-8453 เกิดขึ้นในวิธีการจัดการ Object บนหน่วยความจำของส่วนประกอบ Win32k ซึ่งทำให้ผู้โจมตีที่ไม่ได้พิสูจน์ตัวตนสามารถยกระดับสิทธิ์เพื่อควบคุมระบบได้ โดย Kaspersky เผยว่าเป็น Bug ที่เรียกว่า Use-after-free และถูกใช้แล้วด้วยฝีมือของกลุ่มแฮ็กเกอร์นามว่า ‘FruityArmor’ ซึ่งแฮ็กเกอร์ได้นำไปใช้กับตัวติดตั้งมัลแวร์ที่ต้องการสิทธิ์ของระบบเพื่อติดตั้ง Payload โดยคาดว่าช่องโหว่จะสามารถถูกประยุกต์ใช้กับ Windows รุ่นเก่าไปจนถึง 10 ได้ด้วย

นอกจากนี้แพตช์ยังได้แก้ไขช่องโหว่ Zero-day บน JET Database Engine (เราได้เคยนำเสนอไปแล้วว่า Microsoft จะออกแพตช์แก้ไขในเดือนนี้เพราะก่อนหน้านี้มีแพตช์มาจาก Third-party ที่ชื่อ 0patch) รวมถึงยังได้แก้ไขช่องโหว่เก่าหมายเลข CVE-2010-2190 บน Exchange Server ด้วยเนื่องจากตอนนั้นยังไม่พบว่าเกิดช่องโหว่กับผลิตภัณฑ์ดังกล่าวย โดยช่องโห่วระดับร้ายแรง 12 รายการมีผลกระทบกับผลิตภัณฑ์ เช่น Hyper-V, Edge, IE และ XML Core Services ดังนั้นแนะนำผู้ใช้งานควรรีบอัปเดตแพตช์ สามารถติดตามรายละเอียดของช่องโหว่ทั้งหมดได้ที่นี่

ที่มา : https://www.securityweek.com/microsoft-patches-windows-zero-day-exploited-fruityarmor-group และ https://www.securityweek.com/windows-zero-day-exploited-attacks-aimed-middle-east และ https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2018-patch-tuesday-fixes-12-critical-vulnerabilities/

from:https://www.techtalkthai.com/microsoft-patches-on-october-2018/

พบเทคนิคโจมตีใหม่บนช่องโหว่ WinBox ของ MikroTik เสี่ยงถูกเข้าควบคุมอุปกรณ์ได้

Jacob Baines นักวิจัยด้านความมั่นคงปลอดภัยจาก Tenable Research ออกมาเปิดเผยโค้ดสำหรับ PoC การโจมตีแบบ Remote Code Execution (RCE) บนช่องโหว่ Directory Tranversal ที่เคยถูกค้นพบและแพตช์บนเราท์เตอร์ MicroTik ไปเมื่อเดือนเมษายน เสี่ยงอาจถูกเข้าควบคุมอุปกรณ์แบบ Root Access ได้

ช่องโหว่ที่กล่าวถึงนี้มีรหัส CVE-2018-14827 ถูกจัดความรุนแรงเป็นระดับ Medium ขณะถูกค้นพบเมื่อเดือนเมษายนที่ผ่านมา แต่ล่าสุด นักวิจัยจาก Tenable ได้ใช้เทคนิคการโจมตีแบบใหม่บนช่องโหว่ดังกล่าว ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบรันโค้ดแปลกปลอมจากระยะไกลและได้รับ Root Sheel ความรุนแรงจึงอาจถูกปรับระดับใหม่เป็น Critical แทน

ช่องโหว่นี้ส่งผลกระทบต่อ Winbox ซึ่งเป็นโมดูลบริหารจัดการสำหรับช่วยให้ผู้ดูแลระบบสามารถตั้งค่าเราท์เตอร์ผ่านทางหน้าเว็บ โดยช่วยให้แฮ็กเกอร์สามารถบายพาสการพิสูจน์ตัวตนและอ่าน Arbitary Files จากระยะไกลผ่านทางการแก้ไข Request เพื่อเปลี่ยนไบต์หนึ่งที่เชื่อมโยงกับ Session ID ได้ อย่างไรก็ตาม Baines ได้ต่อยอดการโจมตีไปอีกขั้น โดยใช้ช่องโหว่นี้ในการขโมย Credential สำหรับล็อกอินของผู้ดูแลระบบที่เก็บไว้ในไฟล์ฐานข้อมูลผู้ใช้ และเขียนข้อมูลทับอีกไฟล์หนึ่งเพื่อให้ได้ Root Shell จากระยะไกลได

นั่นหมายความว่า เทคนิคการโจมตีใหม่นี้ช่วยให้แฮ็กเกอร์สามารถแฮ็กระบบ RouterOS ของ MikroTik จากระยะไกลเพื่อวาง Malware Payload หรือบายพาส Firewall Protection ของเราท์เตอร์ได้ นอกจากนี้ Baines ยังค้นพบช่องโหว่ใหม่บน RouterOS ของ MikroTik อีก 4 รายการ คือ

  • CVE-2018-1156 – ช่องโหว่ Stack Buffer Overflow ซึ่งช่วยให้แฮ็กเกอร์สามารถโจมตีแบบ Remote Code Execution ได้แต่ต้องพิสูจน์ตัวตนก่อน ส่งผลให้สามารถเข้าถึงระบบได้แบบ Full Access
  • CVE-2018-1157 – ช่องโหว่ File Upload Memory Exhaustion ซึ่งช่วยให้แฮ็กเกอร์ที่พิสูจน์ตัวตนแล้วสามารถล่ม HTTP Server จากระยะไกลได้
  • CVE-2018-1159 – ช่องโหว่ WWW Memory Corruption ซึ่งช่วยให้แฮ็กเกอร์สามารถล่ม HTTP Server ได้โดยการพิสูจน์ตัวตนและยกเลิกการเชื่อมต่อซ้ำไปเรื่อยๆ
  • CVE-2018-1158 – ช่องโหว่ Recursive Parsing Stack Exhaustion ซึ่งช่วยให้แฮ็กเกอร์สามารถล่ม HTTP Server ได้ผ่านทางการทำ Recursive Parsing บน JSON

ช่องโหว่ทั้งหมดนี้ส่งผลกระทบบน MikroTik RouterOS เวอร์ชันก่อน 6.42.7 และ 6.40.9 โดยมีอุปกรณ์ประมาณ 200,000 เครื่องที่ได้รับผลกระทบอยู่ในขณะนี้ ซึ่งทางนักวิจัยของ Tenable ได้รายงานช่องโหว่ไปยัง MikroTik ซึ่งก็ได้ออกแพตช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อย แนะนำผู้ดูแลระบบอัปเดตเฟิร์มแวร์เป็นเวอร์ชัน 6.40.9, 6.42.7 หรือ 6.43 โดยเร็ว

ที่มา: https://thehackernews.com/2018/10/router-hacking-exploit.html

from:https://www.techtalkthai.com/new-exploit-on-winbox-vulnerability-gives-full-root-access-to-mikrotik-router/

Google+ เตรียมปิดให้บริการหลังข้อมูลผู้ใช้นับแสนถูกเปิดเผยสู่ภายนอก

Google เตรียมปิดให้บริการ Google+ เครือข่ายโซเชียลมีเดียของตนหลังเกิดเหตุ Data Breach ครั้งใหญ่ ส่งผลให้ข้อมูลส่วนบุคคลของผู้ใช้นับแสนรายอาจตกไปอยู่ในมือของนักพัฒนาภายนอก

Google+ Logo

Google เปิดเผยว่า ช่องโหว่ที่เป็นต้นเหตุ Data Breach นี้คงอยู่มาตั้งแต่ปี 2015 ซึ่งเป็นช่องโหว่บนหนึ่งใน People APIs ของ Google ที่ช่วยให้นักพัฒนาจากภายนอกสามารถเข้าถึงข้อมูลของผู้ใช้ Google+ ได้แก่ ชื่อผู้ใช้ อีเมล อาชีพ วันเกิด รูปโปรไฟล์ และเพศ ได้มากกว่า 500,000 คน อย่างไรก็ตาม Google ค้นพบและแพตช์ช่องโหว่ดังกล่าวเมื่อเดือนมีนาคม 2018 ที่ผ่านมา แต่หลีกเลี่ยงที่จะเปิดเผยเหตุการณ์ Data Breach สู่สาธารณะ ซึ่งขณะนั้นเป็นช่วงที่ Facebook กำลังเผชิญหน้ากรณี Cambridge Analytica พอดี

ถึงแม้ว่า Google จะไม่ได้เปิดเผยรายละเอียดเชิงเทคนิคเดียวกับช่องโหว่ แต่ผู้เชี่ยวชาญหลายคนก็คาดการณ์ไว้ว่าน่าจะเป็นช่องโหว่ที่คล้ายกับที่ค้นพบบน Faceboo API ซึ่งช่วยให้นักพัฒนาสามารถเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้ Facebook ได้แม้จะไม่มีสิทธิ์ก็ตาม

จนถึงตอนนี้ยังไม่ทราบตัวเลขผู้ใช้ที่ได้รับผลกระทบจากข้อมูลรั่วอย่างแน่ชัด เนื่องจาก Google+ Server เก็บ Log ของ API เพียงแค่ 2 สัปดาห์เท่านั้น แต่ Google ยืนยันว่า ทางบริษัทยังไม่พบหลักฐานที่เชื่อมโยงว่ามีนักพัฒนาตระหนักถึงช่องโหว่ดังกล่าว หรือมีการนำข้อมูลผู้ใช้ไปใช้ในทางที่ผิดโดยนักพัฒนาทั้งหมด 438 รายที่สามารถเข้าถึงข้อมูลชุดนี้ได้

นอกจากออกมายอมรับเรื่องเหตุการณ์ Data Breach แล้ว Google ยังประกาศว่าทางบริษัทฯ กำลังเตรียมปิดการให้บริการ Google+ เนื่องจากไม่สามารถดึงดูดผู้ใช้และเข้าตีตลาดโซเชียลมีเดียได้ดีเพียงพอ โดย Google+ สำหรับผู้ใช้ทั่วไปจะปิดตัวลงอย่างเป็นทางการในปลายเดือนสิงหาคม 2019 นี้ แต่ Google+ สำหรับผู้ใช้ระดับองค์กรจะยังคงให้บริการต่อไป

หุ้นของ Google ร่วงลงมา 2% หยุดที่มูลค่า $1134.23 หลังออกมารายงานเหตุ Data Breach ดังกล่าว

ที่มา: https://thehackernews.com/2018/10/google-plus-shutdown.html

from:https://www.techtalkthai.com/google-plus-shutting-down-after-data-breach/

พบช่องโหว่บน iOS 12 แม้แต่ iPhone XS ก็อาจถูกบายพาส Passcode ได้

Jose Rodriguez ผู้เชี่ยวชาญด้าน iPhone ออกมาเปิดเผยถึงช่องโหว่บนระบบปฏิบัติ iOS 12 ใหม่ล่าสุดของ Apple ซึ่งช่วยให้แฮ็กเกอร์สามารถบาสพาส Passcode ของ iPhone และเข้าถึงข้อมูลสำคัญภายใน ไม่ว่าจะเป็น รูปภาพ หมายเลขโทรศัพท์ หรืออีเมล ได้ แม้แต่ iPhone XS ก็ได้รับผลกระทบ

สัปดาห์ที่ผ่านมา Rodriguez ได้แชร์วิดีโอบนแชนแนล YouTube ของตนเอง (เป็นภาษาสเปน) ซึ่งสาธิตวิธีการบายพาส Passcode ของ iPhone เวอร์ชันใหม่ล่าสุด คือ iPhone XS ที่รันระบบปฏิบัติการ iOS 12 และ iOS 12 Beta โดยมีเงื่อนไขคือ แฮ็กเกอร์ต้องเข้าถึงตัวเครื่อง iPhone และ iPhone ก็ต้องเปิดใช้ Siri รวมไปถึงปิดการใช้งาน Face ID หรือหาอะไรมาบังกล้องไว้ ถ้าผ่านเงื่อนไขทั้งหมด แฮ็กเกอร์สามารถบายพาส Passcode ของ iPhone ได้โดยการหลอก Siri และใช้ฟีเจอร์ iOS Accessibility ที่เรียกว่า VoiceOver ซึ่งแบ่งเป็นขั้นตอนทั้งหมด 37 ขั้นตอน

หลังจากที่ Rodriguez เผยแพร่วิดีโอสู่สาธารณะ EverythingApplePro อีกแชนแนลหน่ึงบน YouTube ก็ได้เผยแพร่วิดีโอสาธิตการบายพาส Passcode ด้วยวิธีเดียวกันแต่เป็นภาษาอังกฤษออกมา

การบายพาส Passcode ของ iPhone นี้ช่วยให้แฮ็กเกอร์สามารถเข้าถึงรายชื่อผู้ติดต่อที่เก็บอยู่บนเครื่อง ไม่ว่าจะเป็นหมายเลขโทรศัพท์หรืออีเมล รวมไปถึงสามารถเข้าถึง Camera Roll และโฟลเดอร์รูปถ่ายอื่นๆ ได้อีกด้วย

ช่องโหว่นี้ส่งผลกระทบบน iPhone ทุกรุ่น รวมไปถึง iPhone XS รุ่นล่าสุด ซึ่งยังไม่พบว่ามีการแพตช์ในเวอร์ชัน iOS 12.1 Beta แต่อย่างใด แนะนำว่าระหว่างรอการแพตช์ ให้ผู้ใช้ยกเลิกการใช้ Siri จากหน้าจอล็อกเครื่องชั่วคราว

ที่มา: https://thehackernews.com/2018/10/iphone-passcode-bypass-hack.html

from:https://www.techtalkthai.com/passcode-bypass-vulnerability-found-on-iphone-xs-running-ios-12/