News & Update

Project Zero พบช่องโหว่ใน iMessage หกจุด Apple ปิดช่องโหว่ไปแล้วห้าช่องด้วยกัน

Project Zero ทีมวิจัยด้านความปลอดภัยของ Google พบช่องโหว่ใน iMessage ที่สามารถใช้งานได้โดยไม่ต้องให้ยูสเซอร์เผลอกดอะไรแปลกๆ จำนวนหกช่องด้วยกัน

Project Zero ทีมวิจัยด้านความปลอดภัยของ Google พบช่องโหว่ใน iMessage ที่สามารถใช้งานได้โดยไม่ต้องให้ยูสเซอร์เผลอกดอะไรแปลกๆ จำนวนหกช่องด้วยกัน

iMessage group messages.

ช่องโหว่ห้าช่องจากทั้งหมดหกช่องนั้นถูกปิดไปแล้วในอัพเดท iOS 12.4 โดยช่องโหว่ทั้งหมดนั้นแฮคเกอร์สามารถเรียกใช้งานได้โดยยูสเซอร์ไม่ต้องทำอะไรเลย ทำให้ความอันตรายอยู่ในระดับร้ายแรงมาก อย่างไรก็ตามปัจจุบันยังเหลือช่องโหว่อีกหนึ่งจุดที่ Apple ยังไม่ปิด

ในช่องโหว่ทั้งหมดนี้ มีช่องโหว่หนึ่งที่ไม่มีทางแก้ไขได้นอกจากล้างเครื่องใหม่หมด (BBC และ Project Zero ไม่ได้ระบุว่าเป็นช่องโหว่ที่ยังไม่ได้แก้ไขหรือเปล่า) แน่นอนว่าผู้ใช้งานไม่อยากจะใช้วิธีการนั้นเพื่อแก้ไขอย่างแน่นอน โดย ณ ตอนนี้ Project Zero จะยังไม่เปิดเผยช่องโหว่ดังกล่าวสู่สาธารณะ จนกว่าจะถึงเวลาที่นัดกันเอาไว้ (มาตรฐานคือ 90 วันหลังจากแจ้งไป) ถ้าหาก Apple ไม่สามารถแก้ไขได้ทันเวลาผู้ใช้งานทั้งหมดทั่วโลกก็จะตกอยู่ในความเสี่ยงทันที

ช่องโหว่ทั้งหกช่องนี้ถ้าหากนำไปขายในตลาดมืด น่าจะมีมูลค่าช่องโหว่ละไม่ต่ำกว่า $1 ล้านดอลลาร์สหรัฐ เนื่องจากผู้ใช้งานไม่ต้องทำอะไรผิดเลย ไม่ต้องคลิก ไม่ต้องกดลิงค์ แต่ก็โดนแฮคได้ ส่วนทาง Crowdfense ผู้ขายข้อมูลช่องโหว่ระบุว่าเนื่องจากช่องโหว่นี้ผู้ใช้งานไม่ต้องกดอะไรก็โดนแฮคได้ มูลค่าจริงๆ ต่อช่องโหว่น่าจะอยู่ที่ $2 – $4 ล้านดอลลาร์สหรัฐมากกว่า ทำให้รวมๆ แล้วมีมูลค่ารวมสูงถึง $20 – $24 ล้านดอลลาร์สหรัฐ ขึ้นอยู่กับว่าใครเป็นคนซื้อไป

ช่องโหว่ที่ถูกแก้ไขแล้วได้รับรหัส CVE ดังนี้ครับ

  1. CVE-2019-8624
  2. CVE-2019-8646
  3. CVE-2019-8647
  4. CVE-2019-8660
  5. CVE-2019-8662

ที่มา – Gizmodo

ร่วมแสดงความคิดเห็น

ความเห็น

To Top