เพียงแค่ดูข้อความนั้นอาจทำให้อุปกรณ์ของคุณประนีประนอมได้
ประเด็นที่สำคัญ
- จากการวิเคราะห์เรื่องอื้อฉาวการสอดแนมที่ Citizen Lab เปิดเผย นักวิจัยด้านความปลอดภัยของ Google ได้ค้นพบกลไกการโจมตีรูปแบบใหม่ที่เรียกว่าช่องโหว่แบบคลิกศูนย์
- เครื่องมือรักษาความปลอดภัยแบบดั้งเดิม เช่น แอนติไวรัสไม่สามารถป้องกันการหาช่องโหว่จากการคลิกเป็นศูนย์
- Apple ได้หยุดการใช้งานแล้ว แต่นักวิจัยกลัวว่าจะมีการหาช่องโหว่แบบ Zero-click มากขึ้นในอนาคต
![วัยรุ่นพิงกำแพงมองไอโฟน](/f/4959fa80ee8bcbaeb65b7531eb2fd7a0.jpg)
โพสต์หน้าจอ / Unspalsh.com
การปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยถือเป็นแนวทางปฏิบัติที่รอบคอบในการรักษาอุปกรณ์ต่างๆ เช่น แล็ปท็อปและสมาร์ทโฟนปลอดภัยหรือจนกระทั่งนักวิจัยค้นพบเคล็ดลับใหม่ที่แทบ ตรวจไม่พบ
ขณะที่พวกเขาผ่า เพิ่งแพทช์ บั๊กของ Apple ที่ใช้ติดตั้งสปายแวร์ Pegasus บนเป้าหมายเฉพาะ นักวิจัยด้านความปลอดภัยจาก Project ของ Google Zero ได้ค้นพบกลไกการโจมตีที่เป็นนวัตกรรมใหม่ที่พวกเขาขนานนามว่า "การใช้ประโยชน์จากการคลิกเป็นศูนย์" ซึ่งโปรแกรมป้องกันไวรัสบนมือถือไม่สามารถทำได้ ฟอยล์.
"สั้น ๆ ว่าไม่ได้ใช้อุปกรณ์ ไม่มีวิธีใดที่จะป้องกันการเอารัดเอาเปรียบโดย 'การใช้ประโยชน์จากคลิกศูนย์' มันเป็นอาวุธที่ไม่มีการป้องกัน” อ้างสิทธิ์ วิศวกร Google Project Zero Ian Beer และ Samuel Groß ในโพสต์บล็อก
สัตว์ประหลาดของแฟรงเกนสไตน์
สปายแวร์ Pegasus เป็นผลิตภัณฑ์ที่ผลิตขึ้นจาก NSO Group ซึ่งเป็นบริษัทเทคโนโลยีของอิสราเอลที่ตอนนี้ เพิ่มไปยัง "Entity List ." ของสหรัฐอเมริกา" ซึ่งโดยหลักแล้วจะบล็อกรายการดังกล่าวจากตลาดสหรัฐฯ
"ยังไม่ชัดเจนว่าคำอธิบายที่สมเหตุสมผลเกี่ยวกับความเป็นส่วนตัวคืออะไรบนโทรศัพท์มือถือ ซึ่งเรามักจะโทรหากันอย่างเป็นส่วนตัวในที่สาธารณะ แต่แน่นอนว่าเราไม่ได้คาดหวังให้ใครฟังทางโทรศัพท์ แม้ว่านั่นจะเป็นสิ่งที่ Pegasus ช่วยให้ผู้คนทำได้” อธิบาย ศริว นายยา, CEO บริษัทรักษาความปลอดภัยทางไซเบอร์ Guruculในอีเมลถึง Lifewire
"ในฐานะผู้ใช้ปลายทาง เราควรระมัดระวังในการเปิดข้อความจากแหล่งที่ไม่รู้จักหรือไม่น่าเชื่อถือ ไม่ว่าหัวเรื่องหรือข้อความจะน่าดึงดูดเพียงใด..."
สปายแวร์ Pegasus ได้รับความสนใจในเดือนกรกฎาคม 2021 เมื่อ แอมเนสตี้ อินเตอร์เนชั่นแนล เปิดเผย ว่าใช้เพื่อสอดแนมนักข่าวและนักเคลื่อนไหวด้านสิทธิมนุษยชนทั่วโลก
ตามด้วย การเปิดเผยจากนักวิจัยที่ Citizen Lab ในเดือนสิงหาคม พ.ศ. 2564 หลังจากที่พบหลักฐานการเฝ้าระวังใน iPhone 12 Pro ของนักเคลื่อนไหวชาวบาห์เรน 9 คน ผ่านช่องโหว่ที่หลบเลี่ยงการรักษาความปลอดภัยล่าสุดใน iOS 14 ที่เรียกรวมกันว่า BlastDoor
อันที่จริงแล้ว Apple ได้ยื่น คดีความกับกลุ่ม สนช.โดยถือว่ารับผิดชอบในการหลีกเลี่ยงกลไกความปลอดภัยของ iPhone เพื่อสอดส่องผู้ใช้ Apple ผ่านสปายแวร์ Pegasus
"นักแสดงที่ได้รับการสนับสนุนจากรัฐเช่น NSO Group ใช้เงินหลายล้านดอลลาร์ไปกับเทคโนโลยีการเฝ้าระวังที่ซับซ้อนโดยไม่ต้องรับผิดชอบอย่างมีประสิทธิภาพ ที่ต้องเปลี่ยนแปลง” กล่าว Craig Federighiรองประธานอาวุโสฝ่ายวิศวกรรมซอฟต์แวร์ของ Apple ในการแถลงข่าวเกี่ยวกับคดีความ
ในโพสต์ Google Project Zero สองส่วน Beer และ Groß อธิบายว่า NSO Group นำสปายแวร์ Pegasus มาไว้บน iPhone ของเป้าหมายที่ใช้กลไกการโจมตีแบบ Zero-click ซึ่งพวกเขาอธิบายว่าทั้งน่าเหลือเชื่อและน่ากลัว
การใช้ประโยชน์จากการคลิกเป็นศูนย์เป็นสิ่งที่ดูเหมือนจริง ผู้ที่ตกเป็นเหยื่อไม่จำเป็นต้องคลิกหรือแตะอะไรเลยเพื่อบุกรุก เพียงแค่การดูอีเมลหรือข้อความที่มีมัลแวร์แนบอยู่ทำให้สามารถติดตั้งบนอุปกรณ์ได้
![ภาพระยะใกล้ของข้อความบนสมาร์ทโฟน](/f/eec73862b2311ba950719603e6369dcc.jpg)
เจมี่ สตรีท / Unsplash.com
น่าประทับใจและอันตราย
นักวิจัยกล่าวว่าการโจมตีเริ่มต้นจากข้อความชั่วร้ายบนแอพ iMessage เพื่อช่วยเราแยกแยะวิธีการโจมตีที่ค่อนข้างซับซ้อนซึ่งออกแบบโดยแฮกเกอร์ Lifewire ขอความช่วยเหลือจากนักวิจัยด้านความปลอดภัยอิสระ เทวานันท์ เปรมกุมาร.
Premkumar อธิบายว่า iMessage มีกลไกในตัวหลายอย่างในการจัดการไฟล์ .gif แบบเคลื่อนไหว หนึ่งในวิธีการเหล่านี้ตรวจสอบรูปแบบไฟล์เฉพาะโดยใช้ไลบรารีชื่อ ImageIO แฮกเกอร์ใช้ 'เคล็ดลับ gif' เพื่อใช้ประโยชน์จากจุดอ่อนในไลบรารีสนับสนุนที่เรียกว่า CoreGraphics เพื่อเข้าถึง iPhone เป้าหมาย
"ในฐานะผู้ใช้ปลายทาง เราควรระมัดระวังในการเปิดข้อความจากแหล่งที่ไม่รู้จักหรือไม่น่าเชื่อถือ ไม่ว่าข้อความจะเย้ายวนเพียงใด เรื่องหรือข้อความ เนื่องจากถูกใช้เป็นจุดเริ่มต้นหลักในโทรศัพท์มือถือ" เปรมกุมารแนะนำ Lifewire ใน อีเมล.
Premkumar กล่าวเสริมว่ากลไกการโจมตีในปัจจุบันเป็นที่รู้กันว่าทำงานบน iPhone เท่านั้นในขณะที่เขาทำตามขั้นตอนที่ Apple ดำเนินการเพื่อแก้ไขช่องโหว่ปัจจุบัน แต่ในขณะที่การโจมตีปัจจุบันถูกลดทอนลง กลไกการโจมตีได้เปิดกล่องของแพนโดร่า
![ภาพระยะใกล้บนหน้าแอพบน iPhone สีแดงที่แสดงป้ายอีเมลจำนวนมาก](/f/96282b945ee1355e14a491c2fa37c207.jpg)
Sara Kurfeß / Unsplash
"การหาประโยชน์จาก Zero-click จะไม่ตายในเร็ว ๆ นี้ จะมีการทดสอบและปรับใช้การหาช่องโหว่แบบคลิกเป็นศูนย์มากขึ้นเรื่อยๆ กับเป้าหมายที่มีรายละเอียดสูงสำหรับ ข้อมูลที่ละเอียดอ่อนและมีค่าซึ่งสามารถดึงออกมาจากโทรศัพท์มือถือของผู้ใช้ที่ถูกโจมตีได้”. กล่าว เปรมกุมาร.
ในขณะเดียวกัน นอกเหนือจากการฟ้องร้อง NSO แล้ว Apple ยังได้ตัดสินใจที่จะให้ความช่วยเหลือด้านเทคนิค ข้อมูลภัยคุกคาม และความช่วยเหลือด้านวิศวกรรม ให้กับนักวิจัยของ Citizen Lab และได้สัญญาว่าจะให้ความช่วยเหลือเช่นเดียวกันกับองค์กรอื่น ๆ ที่ทำงานที่สำคัญในเรื่องนี้ ช่องว่าง.
นอกจากนี้ บริษัทได้บริจาคเงินถึง 10 ล้านดอลลาร์ รวมทั้งค่าเสียหายทั้งหมด ได้รับรางวัลจากคดีความเพื่อสนับสนุนองค์กรที่เกี่ยวข้องกับการสนับสนุนและการวิจัยการเฝ้าระวังทางไซเบอร์ การละเมิด