เพียงแค่ดูข้อความนั้นอาจทำให้อุปกรณ์ของคุณประนีประนอมได้

December 20, 2021
ในข่าว อินเทอร์เน็ตและความปลอดภัย

click fraud protection

ประเด็นที่สำคัญ

จากการวิเคราะห์เรื่องอื้อฉาวการสอดแนมที่ Citizen Lab เปิดเผย นักวิจัยด้านความปลอดภัยของ Google ได้ค้นพบกลไกการโจมตีรูปแบบใหม่ที่เรียกว่าช่องโหว่แบบคลิกศูนย์
เครื่องมือรักษาความปลอดภัยแบบดั้งเดิม เช่น แอนติไวรัสไม่สามารถป้องกันการหาช่องโหว่จากการคลิกเป็นศูนย์
Apple ได้หยุดการใช้งานแล้ว แต่นักวิจัยกลัวว่าจะมีการหาช่องโหว่แบบ Zero-click มากขึ้นในอนาคต

วัยรุ่นพิงกำแพงมองไอโฟน — โพสต์หน้าจอ / Unspalsh.com

การปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยถือเป็นแนวทางปฏิบัติที่รอบคอบในการรักษาอุปกรณ์ต่างๆ เช่น แล็ปท็อปและสมาร์ทโฟนปลอดภัยหรือจนกระทั่งนักวิจัยค้นพบเคล็ดลับใหม่ที่แทบ ตรวจไม่พบ

ขณะที่พวกเขาผ่า เพิ่งแพทช์ บั๊กของ Apple ที่ใช้ติดตั้งสปายแวร์ Pegasus บนเป้าหมายเฉพาะ นักวิจัยด้านความปลอดภัยจาก Project ของ Google Zero ได้ค้นพบกลไกการโจมตีที่เป็นนวัตกรรมใหม่ที่พวกเขาขนานนามว่า "การใช้ประโยชน์จากการคลิกเป็นศูนย์" ซึ่งโปรแกรมป้องกันไวรัสบนมือถือไม่สามารถทำได้ ฟอยล์.

"สั้น ๆ ว่าไม่ได้ใช้อุปกรณ์ ไม่มีวิธีใดที่จะป้องกันการเอารัดเอาเปรียบโดย 'การใช้ประโยชน์จากคลิกศูนย์' มันเป็นอาวุธที่ไม่มีการป้องกัน” อ้างสิทธิ์ วิศวกร Google Project Zero Ian Beer และ Samuel Groß ในโพสต์บล็อก

สัตว์ประหลาดของแฟรงเกนสไตน์

สปายแวร์ Pegasus เป็นผลิตภัณฑ์ที่ผลิตขึ้นจาก NSO Group ซึ่งเป็นบริษัทเทคโนโลยีของอิสราเอลที่ตอนนี้ เพิ่มไปยัง "Entity List ." ของสหรัฐอเมริกา" ซึ่งโดยหลักแล้วจะบล็อกรายการดังกล่าวจากตลาดสหรัฐฯ

"ยังไม่ชัดเจนว่าคำอธิบายที่สมเหตุสมผลเกี่ยวกับความเป็นส่วนตัวคืออะไรบนโทรศัพท์มือถือ ซึ่งเรามักจะโทรหากันอย่างเป็นส่วนตัวในที่สาธารณะ แต่แน่นอนว่าเราไม่ได้คาดหวังให้ใครฟังทางโทรศัพท์ แม้ว่านั่นจะเป็นสิ่งที่ Pegasus ช่วยให้ผู้คนทำได้” อธิบาย ศริว นายยา, CEO บริษัทรักษาความปลอดภัยทางไซเบอร์ Guruculในอีเมลถึง Lifewire

"ในฐานะผู้ใช้ปลายทาง เราควรระมัดระวังในการเปิดข้อความจากแหล่งที่ไม่รู้จักหรือไม่น่าเชื่อถือ ไม่ว่าหัวเรื่องหรือข้อความจะน่าดึงดูดเพียงใด..."

สปายแวร์ Pegasus ได้รับความสนใจในเดือนกรกฎาคม 2021 เมื่อ แอมเนสตี้ อินเตอร์เนชั่นแนล เปิดเผย ว่าใช้เพื่อสอดแนมนักข่าวและนักเคลื่อนไหวด้านสิทธิมนุษยชนทั่วโลก

ตามด้วย การเปิดเผยจากนักวิจัยที่ Citizen Lab ในเดือนสิงหาคม พ.ศ. 2564 หลังจากที่พบหลักฐานการเฝ้าระวังใน iPhone 12 Pro ของนักเคลื่อนไหวชาวบาห์เรน 9 คน ผ่านช่องโหว่ที่หลบเลี่ยงการรักษาความปลอดภัยล่าสุดใน iOS 14 ที่เรียกรวมกันว่า BlastDoor

อันที่จริงแล้ว Apple ได้ยื่น คดีความกับกลุ่ม สนช.โดยถือว่ารับผิดชอบในการหลีกเลี่ยงกลไกความปลอดภัยของ iPhone เพื่อสอดส่องผู้ใช้ Apple ผ่านสปายแวร์ Pegasus

"นักแสดงที่ได้รับการสนับสนุนจากรัฐเช่น NSO Group ใช้เงินหลายล้านดอลลาร์ไปกับเทคโนโลยีการเฝ้าระวังที่ซับซ้อนโดยไม่ต้องรับผิดชอบอย่างมีประสิทธิภาพ ที่ต้องเปลี่ยนแปลง” กล่าว Craig Federighiรองประธานอาวุโสฝ่ายวิศวกรรมซอฟต์แวร์ของ Apple ในการแถลงข่าวเกี่ยวกับคดีความ

ในโพสต์ Google Project Zero สองส่วน Beer และ Groß อธิบายว่า NSO Group นำสปายแวร์ Pegasus มาไว้บน iPhone ของเป้าหมายที่ใช้กลไกการโจมตีแบบ Zero-click ซึ่งพวกเขาอธิบายว่าทั้งน่าเหลือเชื่อและน่ากลัว

การใช้ประโยชน์จากการคลิกเป็นศูนย์เป็นสิ่งที่ดูเหมือนจริง ผู้ที่ตกเป็นเหยื่อไม่จำเป็นต้องคลิกหรือแตะอะไรเลยเพื่อบุกรุก เพียงแค่การดูอีเมลหรือข้อความที่มีมัลแวร์แนบอยู่ทำให้สามารถติดตั้งบนอุปกรณ์ได้

ภาพระยะใกล้ของข้อความบนสมาร์ทโฟน — เจมี่ สตรีท / Unsplash.com

น่าประทับใจและอันตราย

นักวิจัยกล่าวว่าการโจมตีเริ่มต้นจากข้อความชั่วร้ายบนแอพ iMessage เพื่อช่วยเราแยกแยะวิธีการโจมตีที่ค่อนข้างซับซ้อนซึ่งออกแบบโดยแฮกเกอร์ Lifewire ขอความช่วยเหลือจากนักวิจัยด้านความปลอดภัยอิสระ เทวานันท์ เปรมกุมาร.

Premkumar อธิบายว่า iMessage มีกลไกในตัวหลายอย่างในการจัดการไฟล์ .gif แบบเคลื่อนไหว หนึ่งในวิธีการเหล่านี้ตรวจสอบรูปแบบไฟล์เฉพาะโดยใช้ไลบรารีชื่อ ImageIO แฮกเกอร์ใช้ 'เคล็ดลับ gif' เพื่อใช้ประโยชน์จากจุดอ่อนในไลบรารีสนับสนุนที่เรียกว่า CoreGraphics เพื่อเข้าถึง iPhone เป้าหมาย

"ในฐานะผู้ใช้ปลายทาง เราควรระมัดระวังในการเปิดข้อความจากแหล่งที่ไม่รู้จักหรือไม่น่าเชื่อถือ ไม่ว่าข้อความจะเย้ายวนเพียงใด เรื่องหรือข้อความ เนื่องจากถูกใช้เป็นจุดเริ่มต้นหลักในโทรศัพท์มือถือ" เปรมกุมารแนะนำ Lifewire ใน อีเมล.

Premkumar กล่าวเสริมว่ากลไกการโจมตีในปัจจุบันเป็นที่รู้กันว่าทำงานบน iPhone เท่านั้นในขณะที่เขาทำตามขั้นตอนที่ Apple ดำเนินการเพื่อแก้ไขช่องโหว่ปัจจุบัน แต่ในขณะที่การโจมตีปัจจุบันถูกลดทอนลง กลไกการโจมตีได้เปิดกล่องของแพนโดร่า

ภาพระยะใกล้บนหน้าแอพบน iPhone สีแดงที่แสดงป้ายอีเมลจำนวนมาก — Sara KurfeÃŸ / Unsplash

"การหาประโยชน์จาก Zero-click จะไม่ตายในเร็ว ๆ นี้ จะมีการทดสอบและปรับใช้การหาช่องโหว่แบบคลิกเป็นศูนย์มากขึ้นเรื่อยๆ กับเป้าหมายที่มีรายละเอียดสูงสำหรับ ข้อมูลที่ละเอียดอ่อนและมีค่าซึ่งสามารถดึงออกมาจากโทรศัพท์มือถือของผู้ใช้ที่ถูกโจมตีได้”. กล่าว เปรมกุมาร.

ในขณะเดียวกัน นอกเหนือจากการฟ้องร้อง NSO แล้ว Apple ยังได้ตัดสินใจที่จะให้ความช่วยเหลือด้านเทคนิค ข้อมูลภัยคุกคาม และความช่วยเหลือด้านวิศวกรรม ให้กับนักวิจัยของ Citizen Lab และได้สัญญาว่าจะให้ความช่วยเหลือเช่นเดียวกันกับองค์กรอื่น ๆ ที่ทำงานที่สำคัญในเรื่องนี้ ช่องว่าง.

นอกจากนี้ บริษัทได้บริจาคเงินถึง 10 ล้านดอลลาร์ รวมทั้งค่าเสียหายทั้งหมด ได้รับรางวัลจากคดีความเพื่อสนับสนุนองค์กรที่เกี่ยวข้องกับการสนับสนุนและการวิจัยการเฝ้าระวังทางไซเบอร์ การละเมิด