News & Update

Kryptowire บริษัทวิจัยความปลอดภัยพบมือถือ Android จำนวนมากมีช่องโหว่ในระดับเฟิร์มแวร์

WiFi Security WPA3

Kryptowire บริษัทวิจัยด้านความปลอดภัยพบว่ามือถือแอนดรอยด์นั้นมีปัญหาด้านความปลอดภัยอย่างหนัก ไม่ต้องไปคลิกลิงค์แปลกๆ หรือติดตั้งแอพปลอมก็โดนขโมยข้อมูลหรือโจมตีได้

Kryptowire บริษัทวิจัยด้านความปลอดภัยพบว่ามือถือแอนดรอยด์นั้นมีปัญหาด้านความปลอดภัยอย่างหนัก ไม่ต้องไปคลิกลิงค์แปลกๆ หรือติดตั้งแอพปลอมก็โดนขโมยข้อมูลหรือโจมตีได้ Android Bug Exploited

จากงานวิจัยด้านความปลอดภัยพบว่าช่องโหว่ร้ายแรงหลายระดับถูกซ่อนอยู่ในเฟิร์มแวร์จากผู้ผลิตรอคอยให้แฮคเกอร์หรือผู้ไม่ประสงค์ดีมาค้นพบ ซึ่งเป็นความผิดของผู้เกี่ยวข้องทั้งหลาย ไม่ว่าจะเป็นผู้ผลิตเอง หรือเครือข่ายโทรศัพท์ที่ควบคุมการพัฒนาเฟิร์มแวร์ ความอันตรายร้ายแรงของช่องโหว่ที่ซ่อนเอาไว้นี้ก็มีตั้งแต่ล็อกเครื่องให้เจ้าของกลับมาใช้งานไม่ได้ แอบเปิดกล้องหน้า หรือไมโครโฟนเพื่ออัดเสียง หรืออัดวิดิโอภาพหน้าจอว่าทำอะไรบ้างก็ได้

เนื่องจากระบบปฏิบัติการ Android นั้นพัฒนาโดย Google และถูกนำไปใช้ต่อโดยผู้ผลิตมือถือรายต่างๆ โดยส่วนใหญ่ก็ตกแต่งหน้าตาเสียใหม่ให้เข้ากับยี่ห้อนั้นๆ แต่การเปลี่ยนแปลงโค้ดเหล่านั้นก็นำมาซึ่งช่องโหว่และปัญหาด้านความปลอดภัย

สำหรับยี่ห้อที่ถูกนำมาพูดถึงในงานนี้ก็มีตั้งแต่ Asus, LG, Essential, ZTE อย่าง Asus ZenFone V Live นั้นพบว่าช่องโหว่นั้นทำให้ผู้ประสงค์ร้ายสามารถสกรีนช็อตภาพหน้าจอ หรืออัดเป็นวิดิโอก็ได้ รวมไปถึงโทรออก แอบอ่านข้อความ และอื่นๆ อีกมากมาย แค่ฟังก็สยองแล้ว ทั้งนี้ทาง Asus ตอนนี้รับทราบถึงช่องโหว่ดังกล่าวและกำลังหาทางปิดช่องโหว่ด้วยการปล่อยอัพเดทในอนาคต

สำหรับการโจมตีนั้นไม่จำเป็นว่าจะต้องหลอกให้ผู้ใช้งานคลิกลิงค์แปลกๆ หรือโหลด APK จากภายนอกที่สอดไส้มัลแวร์ด้วยซ้ำไป แค่แอพธรรมดาๆ ที่อยู่บน Play Store ถ้าหากเรียกใช้งานช่องโหว่เหล่านี้ก็สามารถใช้งานสิทธิต่างๆ ได้โดยไม่ต้องขอจากผู้ใช้งานด้วยซ้ำ เนื่องจากเป็นช่องโหว่ที่อยู่ในเฟิร์มแวร์นั่นเอง

สำหรับมือถืออีกตัวที่มีปัญหาด้านความปลอดภัยหนักๆ ก็คือ ZTE Blade Spark , ZTE Blade Vantage ช่องโหว่อนุญาตให้แอพใดๆ ก็สามารถอ่านข้อความ ประวัติการโทร และ logcat (บันทึกการทำงานของระบบโดยละเอียดเชิงลึก) ทำให้ผู้ไม่ประสงค์ดีสามารถอ่านข้อมูลส่วนตัวได้ ไม่ว่าจะเป็น email address, ตำแหน่งจาก GPS ส่วน LG G6 ก็มีช่องโหว่ให้เข้าไปอ่าน logcat หรือล็อกผู้ใช้งานไม่ให้ใช้มือถือได้อีกเลย ส่วน Essential PH-1 ก็สามารถล้างข้อมูลทั้งเครื่องโดยผู้ใช้งานไม่รู้ตัวได้เลย

ทาง Essential บอกว่าทันทีที่ได้รับข้อมูลเรื่องช่องโหว่ก็รีบอุดโดยทันที ส่วน LG ก็รับทราบเป็นบางรุ่น และบอกว่าจะออกแพทช์อัพเดทช่องโหว่ตามมาในอนาคต ส่วน ZTE ก็บอกว่าร่วมมือกับเครือข่ายเพื่อหาทางแก้ไขช่องโหว่ดังกล่าวอยู่

สำหรับเครือข่ายในสหรัฐที่ร่วมกันพัฒนาเฟิร์มแวร์กับค่ายมือถืออย่าง AT&T ก็บอกว่าร่วมมือกับผู้ผลิตเพื่อแก้ไขช่องโหว่ดังกล่าวอยู่ ส่วน Verizon และ Sprint นั้นไม่แสดงความเห็นแต่ประการใด ส่วนเครือข่ายเล็กสุดอย่าง T-Mobile ก็บอกว่าจะไม่แสดงความเห็นจนกว่าจะได้เห็นรายละเอียดช่องโหว่เสียก่อน

CEO ของ Kryptowire บอกว่าสุดท้ายแล้วมีแต่คนปกป้องตัวเอง แต่ไม่มีใครปกป้องผู้บริโภคจากช่องโหว่อันตรายทั้งหลาย ช่องโหว่เหล่านี้อยู่ลึกลงไปจนผู้บริโภคทั่วๆ ไปไม่สามารถตอบได้ว่ามีช่องโหว่หรือไม่ และมีอะไรบ้าง และสิ่งที่ทำได้ก็คือรอจนกว่าผู้ผลิตหรือเครือข่ายจะปล่อยแพทช์ปิดช่องโหว่เหล่านี้ ระหว่างนี้ทาง Kryptowire จะเก็บช่องโหว่เหล่านี้เอาไว้อีกพักใหญ่ๆ จนกว่าผู้ผลิตหรือเครือข่ายจะปล่อยแพทช์ออกมาให้ผู้บริโภคอัพเดท

ทาง Google ได้ออกมาแสดงความเห็นขอบคุณ Kryptowire ที่ร่วมกันสร้างโลกที่ปลอดภัยขึ้นสำหรับโลกของ Android อย่างไรก็ตามช่องโหว่ที่พบนี้เกิดจากการดัดแปลงแก้ไข Android เท่านั้น ส่วนโค้ด Android ตัวจริงจาก Google เวอร์ชันที่ปราศจากการดัดแปลงนั้นไม่มีช่องโหว่ความปลอดภัยเหล่านี้อยู่

ที่มา – Wired

ร่วมแสดงความคิดเห็น

ความเห็น

To Top