“XARA” Keychain Attack การโจรกรรมพาสเวิร์ดแบบใหม่ในระบบ Mac OS X

17 กรกฎาคม 2015

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

ในปัจจุบันการโจมตีต่างๆ ที่เกิดขึ้นในโลกไซเบอร์นั้นมีความหลากหลายและยากที่จะตรวจจับ ซึ่งผู้ใช้คอมพิวเตอร์ทั่วไปก็ได้แต่หวังว่าคอมพิวเตอร์ของตนจะไม่ถูกโจมตี จึงได้หันมาใช้ Mac OS X ซึ่งเป็นระบบปฏิบัติการของ Apple มากขึ้น  นั่นก็เป็นเพราะเชื่อถือระบบความปลอดภัยที่มีใน Mac OS X มากพอสมควร แต่หารู้ไม่ว่าแฮกเกอร์นั้นก็ยังสามารถหาช่องโหว่ที่อยู่ในระบบความปลอดภัยใน Mac OS X มานานแสนนานเพื่อขโมยพาสเวิร์ด ซึ่งนั่นก็เป็นช่องโหว่ที่อยู่ใน Keychain นั่นเอง

apple-keychain-00

Keychain นั้นเป็นระบบจัดการพาสเวิร์ดใน Mac OS X ที่ถูกพัฒนาและใช้งานตั้งแต่ Mac OS 8.4 แล้ว ซึ่ง Keychain นั้นจะสามารถเก็บข้อมูลได้หลายชนิดไม่ว่าจะเป็นพาสเวิร์ดชนิดต่างๆ, ใบรับรอง (certificates), คีย์ลับ (private keys) เป็นต้น โดยพาสเวิร์ดทั้งหมดนั้นจะถูกเข้ารหัส โดยใช้ Triple Digital Encryption Standard (3DES) แต่ใน iCloud Keychain นั้นจะใช้ 256-bit AES encryption แทน

apple-keychain-01

สำหรับช่องโหว่ที่แฮกเกอร์พบนั่นก็คือ “unauthorized cross-app resource access” โดยเรียกอย่างย่อๆ ว่า “XARA” ซึ่งเป็นช่องโหว่ที่เกิดที่ตัว Keychain เองโดยที่สามารถอนุญาติให้ แอพพลิเคชั่นที่เชื่อถือได้ (trusted application) สามารถเข้าถึงข้อมูลต่างๆ ที่อยู่ใน Keychain ของแอพพลิเคชั่นจริง (legitmate application) โดยผ่านทาง Access Control List (ACL) ได้ แม้กระทั่งแอพฯไม่ประสงค์ดี (malicious application) ก็ตาม ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลลับ เช่น Bundle ID (BID) token ซึ่งเป็นข้อมูลสำคัญที่แอพฯ นั้นๆ จะใช้ระบุตัวตนกับเซิร์ฟเวอร์หรือเซอร์วิสต่างๆ นั่นเอง การโจมตีผ่านช่องโหว่ที่เกิดขึ้นนี้จะเรียกว่า Container Cracking วิธีนี้จะสำเร็จได้ก็ต่อเมื่อรู้ directory ของ Keychain ที่แอพฯ นั้นๆ ใช้ ซึ่งกระบวนการโจมตีคร่าวๆ ก็คือ แฮกเกอร์จะไปสร้าง directory และ Keychain ปลอมของแอพฯนั้น    ขึ้นมาผ่านแอพฯ ไม่ประสงค์ดีและเมื่อแอพฯ นั้นถูกติดตั้งบนเครื่อง แอพฯ นั้นก็จะถูกหลอกให้ทำเพียงขอ access เข้าไปใช้ Keychain ที่ถูกปลอมขึ้นมาแทนที่จะสร้าง Keychain ขึ้นมาใหม่เนื่องจากชื่อและ directory ตรงกัน ทำให้แอพฯไม่ประสงค์ดีสามารถเข้าถึงข้อมูลได้อย่างง่ายดายและสามารถไปแก้ไขได้ด้วยเนื่องจากแอพฯไม่ประสงค์ดีเป็นคนสร้างขึ้น วิธีการขโมยพาสเวิร์ดก็ง่ายๆ เพียงลบรหัสผ่านเก่าที่อยู่ใน Keychain ทิ้ง หลังจากนั้นแค่รอให้ผู้ใช้งานแอพฯกรอกพาสเวิร์ดใหม่ลงไป แฮกเกอร์ก็จะสามารถเข้าถึงพาสเวิร์ดนั้นได้ทันที

apple-keychain-02

โดยผู้ค้นพบช่องโหว่นี้ได้ทำการศึกษาบน Mac OS X 10.10.3 Yosemite ซึ่งเป็นระบบปฏิบัติการล่าสุดของ Apple ในขณะนั้น และพบว่าแอพพลิเคชั่นที่มีช่องโหว่ลักษณะนี้ที่สามารถใช้ XARA ในการขโมยพาสเวิร์ดได้นั้นมีมากถึง 88.6% ยกตัวอย่างเช่น iCloud, 1Password, Evernote เป็นต้น ส่วนวิธีป้องกัน แนะนำว่าตอนนี้ให้ผู้ใช้ติดตั้งแอพฯที่มาจากแหล่งที่น่าเชื่อถือได้เท่านั้น ที่เหลือก็ต้องรอให้ Apple อุดช่องโหว่ต่อไป

เขียนโดย

ชนวัฒน์ นาควังศาสตร์
จาก สถาบันเทคโนโลยีนานาชาติสิรินธร มหาวิทยาลัยธรรมศาสตร์

ที่มา

https://threatpost.com/xara-password-stealing-vulnerabilities-outlined-in-ios-osx/113366
https://drive.google.com/file/d/0BxxXk1d3yyuZOFlsdkNMSGswSGs/view

บทความที่เกี่ยวข้อง