Android มีช่องโหว่ฉกภาพได้เหมือนกัน

NT cyfence

ไม่ใช่แค่ iPhone ของ Apple เท่านั้นที่นักพัฒนา หรือแฮคเกอร์จะสามารถพัฒนาแอพฯ ที่ใช้ช่องโหว่บน iOS เพื่ออัพโหลดภาพถ่ายทั้งหมดจาก iPhone ของคุณได้ เพราะล่าสุด ระบบปฏิบัติการ Android ของ Google ก็มีช่องโหว่ดังกล่าวด้วยเหมือนกัน…อุ๊ปส์!!!

ปัญหาของช่องโหว่ที่มีการเปิดเผยออกมาล่าสุดนี้ แม้จะยังไม่มีใครยืนยันได้ว่ามันมีแอพฯตัวใดบ้างในตลาดที่ใช้ช่องโหว่นี้ แต่คุณผู้อ่านเว็บไซต์ arip ก็ไม่ควรประมาท โดยล่าสุดยังมีการตรวจพบว่า แอพฯ หลายแสนตัวทั้งบนอุปกรณ์โมบาย Android และ iOS กำลังเข้าถึงไลบรารี่ภาพในเครื่องของคุณ โดยการเข้าถึงดังกล่าวจะเกิดขึ้นเมื่อผู้ใช้ยอมแชร์ข้อมูลเกี่ยวกับสถานที่ (location information) ของตนกับแอพฯ นั้นๆ ซึ่งจะว่าไป มันคงไม่รู้สึกดีนักที่ทราบเช่นนี้ เพราะนั่นหมายความว่า แอพฯ ที่มีอยู่หลายแสนตัว (และอาจจะอยู่ในสมาร์ทโฟน หรือ iPhone ของคุณแล้ว) กำลังเข้าถึงไฟล์ภาพในเครื่องของคุณได้

แหล่งข่าวเว็บไซต์นิวยอร์กไทมส์ที่จุดประเด็นเรื่องนี้รายงานเมื่อวันพฤหัสบดีทีผ่านมาว่า ผู้ใช้อุปกรณ์โมบายทีทำงานด้วยระบบปฏิบัติการ Android ของ Google ก็ตกอยู่ในความเสี่ยงลักษณะนีด้วยเหมือนกัน และดูเหมือนจะร้ายแรงกว่าผู้ใช้ iPhone เสียด้วยซ้ำ โดยข้อมูลจากนักพัฒนาแอพฯ ระบุว่า สำหรับแอพฯ Android ที่ใช้ช่องโหว่นี้จะไม่ต้องข้ออนุญาตในการเข้าถึงไฟล์ภาพของผู้ใช้ (ไม่ต้องโชว์ไดอะล็อกบ๊อกซ์) และตราบใดที่แอพฯ ดังกล่าวยังเชื่อมต่อเน็๖ มันจะสามารถก็อปปี้ไฟล์ภาพเหล่านั้นไปยังเซิร์ฟเวอร์บนเน็ตได้โดยผู้ใช้ไม่ทันสังเกตได้อีกด้วย อย่างไรก็ตาม แหล่งข่าวกล่าว่า ไม่สามารถระบุลงไปอย่างชัดเจนได้ว่า มีแอพฯ ตัวใดบ้างบน Android ที่กำลังใช้ช่องโหว่นี้

ทางด้าน Google เองก็ได้แสดงความคิดเห็นต่อประเด็นนี้ว่า กำลังพิจารณาเพิ่มส่วนของการร้องขออนุญาตสำหรับแอพฯ ทีต้องการเข้าถึงภาพในเครื่อง “เราออกแบบระบบไฟล์ภาพบน Android คล้ายกับแพลตฟอร์มคอมพิวเตอร์อย่าง Windows และ Mac OS แต่ตอนนี้ ไฟล์ภาพต่างๆ ถูกจัดเก็บบนการ์ดหน่วยความจำ SD ซึ่งมันทำให้ง่ายมากที่ใครก็ได้สามารถถอดการ์ด SD ออกจากอุปกรณ์โมบาย แล้วนำมันไปเปิดดูบนคอมพิวเตอร์ แต่สำหรับสมาร์ทโฟน และแท็บเล็ตที่มีสตอเรจ และหน่วยความจำในเครื่อง (ถอดออกไม่ได้) ซึ่งเป็นอีกประเด็นหนึ่งที่ Google คงต้องพิจารณาหาทางป้องกัน (การฉกรูปจากอุปกรณ์โมบาย โดยอัพโหลดไปยังเซิร์ฟเวอร์บนเน็ต ขั้นตอนทั้งหมดนี้ทำได้โดยแฮคเกอร์ไม่ต้องออกแรงถอดการ์ดหน่วยความจำเลย ทุกอย่างเกิดขึ้นได้ โดยที่ผู้ใช้ไม่ทันรู้ตัวเลยด้วยซ้ำ ทั้งหมดเพียงแค่เพิ่มคำสังเข้าไปใน app เท่านั้น) ด้วยเช่นกัน” อย่างไรก็ดี Google ยังกล่าวย้ำให้ผู้ใช้ทราบอีกด้วยว่า “เรามีนโยบายในการลบแอพฯ ที่มีการเข้าถึงข้อมูลอย่างไม่เหมาะสมออกจาก Android Market” ส่วนทางด้าน Apple ยังไม่มีการแสดงความคิดเห็นในเรื่องดังกล่าวแต่อย่างใด

บทความที่เกี่ยวข้อง

IT 360º ไอที ง่ายๆ รอบๆ ตัว
พบมัลแวร์ Reaper บน macOS ใช้โดเมนปลอม Microsoft หลอกขโมยรหัสผ่าน และคริปโต
NT cyfence

หน่วยวิจัย SentinelLABS จากบริษัทความปลอดภัยไซเบอร์ SentinelOne ได้เปิดเผยรายงานการพบมัลแวร์ตัวใหม่บนระบบปฏิบัติการ macOS ที่มีชื่อว่า Reaper ซึ่งเป็นสายพันธุ์ล่าสุดของมัลแวร์ขโมยข้อมูล (Infostealer)...

อ่านต่อ >
IT 360º ไอที ง่ายๆ รอบๆ ตัว
พบช่องโหว่ร้ายแรงใน Plugin WordPress Burst Statistics หากใช้งานต้องอัปเดตทันที
cyfence
พบแฮกเกอร์โจมตีช่องโหว่ร้ายแรงในปลั๊กอิน WordPress “Burst Statistics” ที่ใช้บนกว่า 200,000 เว็บไซต์ ช่องโหว่นี้เปิดทางให้ผู้โจมตีข้ามการยืนยันตัวตนและสวมสิทธิ์แอดมินได้ แม้ใส่รหัสผ่านผิด เสี่ยงต่อการติดมัลแวร์และถูกยึดเว็บไซต์...
อ่านต่อ >
IT 360º ไอที ง่ายๆ รอบๆ ตัว
พบ Ransomware VECT 2.0 ทำลายไฟล์ถาวร จ่ายค่าไถ่ก็กู้ข้อมูลไม่ได้
NT cyfence
พบแรนซัมแวร์ “VECT 2.0” ที่ไม่เพียงเข้ารหัสไฟล์ แต่ยังทำลายข้อมูลถาวร โดยเฉพาะข้อมูลขนาดใหญ่ แม้จะมีการจ่ายค่าไถ่แล้วก็ตาม
อ่านต่อ >
Scroll to Top