“XARA” Keychain Attack การโจรกรรมพาสเวิร์ดแบบใหม่ในระบบ Mac OS X

17 กรกฎาคม 2015

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

ในปัจจุบันการโจมตีต่างๆ ที่เกิดขึ้นในโลกไซเบอร์นั้นมีความหลากหลายและยากที่จะตรวจจับ ซึ่งผู้ใช้คอมพิวเตอร์ทั่วไปก็ได้แต่หวังว่าคอมพิวเตอร์ของตนจะไม่ถูกโจมตี จึงได้หันมาใช้ Mac OS X ซึ่งเป็นระบบปฏิบัติการของ Apple มากขึ้น  นั่นก็เป็นเพราะเชื่อถือระบบความปลอดภัยที่มีใน Mac OS X มากพอสมควร แต่หารู้ไม่ว่าแฮกเกอร์นั้นก็ยังสามารถหาช่องโหว่ที่อยู่ในระบบความปลอดภัยใน Mac OS X มานานแสนนานเพื่อขโมยพาสเวิร์ด ซึ่งนั่นก็เป็นช่องโหว่ที่อยู่ใน Keychain นั่นเอง

apple-keychain-00

Keychain นั้นเป็นระบบจัดการพาสเวิร์ดใน Mac OS X ที่ถูกพัฒนาและใช้งานตั้งแต่ Mac OS 8.4 แล้ว ซึ่ง Keychain นั้นจะสามารถเก็บข้อมูลได้หลายชนิดไม่ว่าจะเป็นพาสเวิร์ดชนิดต่างๆ, ใบรับรอง (certificates), คีย์ลับ (private keys) เป็นต้น โดยพาสเวิร์ดทั้งหมดนั้นจะถูกเข้ารหัส โดยใช้ Triple Digital Encryption Standard (3DES) แต่ใน iCloud Keychain นั้นจะใช้ 256-bit AES encryption แทน

apple-keychain-01

สำหรับช่องโหว่ที่แฮกเกอร์พบนั่นก็คือ “unauthorized cross-app resource access” โดยเรียกอย่างย่อๆ ว่า “XARA” ซึ่งเป็นช่องโหว่ที่เกิดที่ตัว Keychain เองโดยที่สามารถอนุญาติให้ แอพพลิเคชั่นที่เชื่อถือได้ (trusted application) สามารถเข้าถึงข้อมูลต่างๆ ที่อยู่ใน Keychain ของแอพพลิเคชั่นจริง (legitmate application) โดยผ่านทาง Access Control List (ACL) ได้ แม้กระทั่งแอพฯไม่ประสงค์ดี (malicious application) ก็ตาม ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลลับ เช่น Bundle ID (BID) token ซึ่งเป็นข้อมูลสำคัญที่แอพฯ นั้นๆ จะใช้ระบุตัวตนกับเซิร์ฟเวอร์หรือเซอร์วิสต่างๆ นั่นเอง การโจมตีผ่านช่องโหว่ที่เกิดขึ้นนี้จะเรียกว่า Container Cracking วิธีนี้จะสำเร็จได้ก็ต่อเมื่อรู้ directory ของ Keychain ที่แอพฯ นั้นๆ ใช้ ซึ่งกระบวนการโจมตีคร่าวๆ ก็คือ แฮกเกอร์จะไปสร้าง directory และ Keychain ปลอมของแอพฯนั้น    ขึ้นมาผ่านแอพฯ ไม่ประสงค์ดีและเมื่อแอพฯ นั้นถูกติดตั้งบนเครื่อง แอพฯ นั้นก็จะถูกหลอกให้ทำเพียงขอ access เข้าไปใช้ Keychain ที่ถูกปลอมขึ้นมาแทนที่จะสร้าง Keychain ขึ้นมาใหม่เนื่องจากชื่อและ directory ตรงกัน ทำให้แอพฯไม่ประสงค์ดีสามารถเข้าถึงข้อมูลได้อย่างง่ายดายและสามารถไปแก้ไขได้ด้วยเนื่องจากแอพฯไม่ประสงค์ดีเป็นคนสร้างขึ้น วิธีการขโมยพาสเวิร์ดก็ง่ายๆ เพียงลบรหัสผ่านเก่าที่อยู่ใน Keychain ทิ้ง หลังจากนั้นแค่รอให้ผู้ใช้งานแอพฯกรอกพาสเวิร์ดใหม่ลงไป แฮกเกอร์ก็จะสามารถเข้าถึงพาสเวิร์ดนั้นได้ทันที

apple-keychain-02

โดยผู้ค้นพบช่องโหว่นี้ได้ทำการศึกษาบน Mac OS X 10.10.3 Yosemite ซึ่งเป็นระบบปฏิบัติการล่าสุดของ Apple ในขณะนั้น และพบว่าแอพพลิเคชั่นที่มีช่องโหว่ลักษณะนี้ที่สามารถใช้ XARA ในการขโมยพาสเวิร์ดได้นั้นมีมากถึง 88.6% ยกตัวอย่างเช่น iCloud, 1Password, Evernote เป็นต้น ส่วนวิธีป้องกัน แนะนำว่าตอนนี้ให้ผู้ใช้ติดตั้งแอพฯที่มาจากแหล่งที่น่าเชื่อถือได้เท่านั้น ที่เหลือก็ต้องรอให้ Apple อุดช่องโหว่ต่อไป

เขียนโดย

ชนวัฒน์ นาควังศาสตร์
จาก สถาบันเทคโนโลยีนานาชาติสิรินธร มหาวิทยาลัยธรรมศาสตร์

ที่มา

https://threatpost.com/xara-password-stealing-vulnerabilities-outlined-in-ios-osx/113366
https://drive.google.com/file/d/0BxxXk1d3yyuZOFlsdkNMSGswSGs/view

บทความที่เกี่ยวข้อง

  • 21 มิถุนายน 2024

    ความปลอดภัยของเว็บและแอปพลิเคชันเป็นสิ่งสำคัญสำหรับทุกธุรกิจ! ไม่ใช่แค่เรื่องของการปกป้องข้อมูล แต่ยังเกี่ยวข้องกับความเชื่อมั่นของลูกค้าและความเสถียรภาพของธุรกิจเองด้วย เลือกใช้และปรับแต่ง WAF ที่เหมาะสมสำหรับธุรกิจของคุณเพื่อป้องกันการโจมตีทางไซเบอร์และลดความเสี่ยงจากผลกระทบที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพ

  • 18 มิถุนายน 2024

    ระบบ IT ในโรงพยาบาลก็เป็นอีกหนึ่งหัวใจที่สำคัญ และจำเป็นต้องมีการปกป้องภัยคุกคามไซเบอร์ โดยเฉพาะอย่างยิ่ง Ransomware ซึ่งจำเป็นจะต้องให้เป็นไปตาม มาตรฐานความเสี่ยง 3 ระดับ โดยในบทความนี้ มีการสรุปมาตรฐานความเสี่ยง ที่โรงพยาบาลควรตระหนัก เพื่อที่จะได้ป้องกันภัยไซเบอร์ได้อย่างทันท่วงที

  • 6 มีนาคม 2024

    ศูนย์ปฏิบัติการ Cybersecurity Operations Center (CSOC) ได้สรุปสถิติภัยคุกคามการโจมตีในปี 2023 ที่ผ่านมา มีอะไรบ้างที่ควรรู้และในปีถัดไปควรระวังเรื่องใด