IT 360º ไอที ง่ายๆ รอบๆ ตัว

ไม่ใช่แค่ iPhone ของ Apple เท่านั้นที่นักพัฒนา หรือแฮคเกอร์จะสามารถพัฒนาแอพฯ ที่ใช้ช่องโหว่บน iOS เพื่ออัพโหลดภาพถ่ายทั้งหมดจาก iPhone ของคุณได้ เพราะล่าสุด ระบบปฏิบัติการ Android ของ Google ก็มีช่องโหว่ดังกล่าวด้วยเหมือนกัน…อุ๊ปส์!!! ปัญหาของช่องโหว่ที่มีการเปิดเผยออกมาล่าสุดนี้ แม้จะยังไม่มีใครยืนยันได้ว่ามันมีแอพฯตัวใดบ้างในตลาดที่ใช้ช่องโหว่นี้ แต่คุณผู้อ่านเว็บไซต์ arip ก็ไม่ควรประมาท โดยล่าสุดยังมีการตรวจพบว่า แอพฯ หลายแสนตัวทั้งบนอุปกรณ์โมบาย Android และ iOS กำลังเข้าถึงไลบรารี่ภาพในเครื่องของคุณ โดยการเข้าถึงดังกล่าวจะเกิดขึ้นเมื่อผู้ใช้ยอมแชร์ข้อมูลเกี่ยวกับสถานที่ (location information) ของตนกับแอพฯ นั้นๆ ซึ่งจะว่าไป มันคงไม่รู้สึกดีนักที่ทราบเช่นนี้ เพราะนั่นหมายความว่า แอพฯ ที่มีอยู่หลายแสนตัว (และอาจจะอยู่ในสมาร์ทโฟน หรือ iPhone ของคุณแล้ว) กำลังเข้าถึงไฟล์ภาพในเครื่องของคุณได้ แหล่งข่าวเว็บไซต์นิวยอร์กไทมส์ที่จุดประเด็นเรื่องนี้รายงานเมื่อวันพฤหัสบดีทีผ่านมาว่า ผู้ใช้อุปกรณ์โมบายทีทำงานด้วยระบบปฏิบัติการ Android ของ Google ก็ตกอยู่ในความเสี่ยงลักษณะนีด้วยเหมือนกัน และดูเหมือนจะร้ายแรงกว่าผู้ใช้ iPhone เสียด้วยซ้ำ โดยข้อมูลจากนักพัฒนาแอพฯ ระบุว่า สำหรับแอพฯ Android ที่ใช้ช่องโหว่นี้จะไม่ต้องข้ออนุญาตในการเข้าถึงไฟล์ภาพของผู้ใช้ (ไม่ต้องโชว์ไดอะล็อกบ๊อกซ์) และตราบใดที่แอพฯ ดังกล่าวยังเชื่อมต่อเน็๖ มันจะสามารถก็อปปี้ไฟล์ภาพเหล่านั้นไปยังเซิร์ฟเวอร์บนเน็ตได้โดยผู้ใช้ไม่ทันสังเกตได้อีกด้วย อย่างไรก็ตาม แหล่งข่าวกล่าว่า ไม่สามารถระบุลงไปอย่างชัดเจนได้ว่า […]

ขออนุญาตนำเสนอข่าวเกี่ยวกับผลิตภัณฑ์ Apple อีกสักชิ้นนะครับ แต่รายงานข่าวนี้อาจสร้างความตื่นเต้นในทางตรงกันข้ามกับข่าวที่แล้ว เรื่องของเรื่องก็คือ มีรายงานว่า พบช่องโหว่ในระบบปฏิบัติการ iOS ที่เสี่ยงต่อการละเมิดความเป็นส่วนตัวของผู้ใช้ โดยช่องโหว่ดังกล่าวจะเปิดโอกาสให้นักพัฒนา ตลอดจนแฮคเกอร์สามารถเข้าถึง”ภาพถ่าย”ทั้งหมดที่อยู่ในอุปกรณ์ iOS (iPod Touch, iPhone และ iPad) ของคุณได้ โดยไม่ต้องได้รับอนุญาต คุณสมบัติรักษาความปลอดภัยของ iOS ที่ยอมให้ผู้ใช้สามารถแชร์ข้อมูลเกี่ยวกับตำแหน่งสถานที่ (location) ของผู้ใช้ อาจถูกนำไปใช้ในทางที่ไม่ถูกต้องได้ โดยแอพฯ อันตรายสามารถใช้ช่องโหว่ที่พบในการล้วงลับภาพเด็ดๆ ทั้งหมดในอุปกรณ์ iOS ของคุณออกไปได้ ซึ่งจากรายงานบนบล็อกของนิวยอร์กไทมส์ยังระบุอีกด้วยว่า นักพัฒนาสามารถเข้าถึงภาพทั้งหมดในไลบรารี่ได้โดยผ่านการร้องขออนุญาตเข้าถึงข้อมูลเกี่ยวกับตำแหน่งสถานที่ (location information) ของผู้ใช้ขณะนั้น และเมื่อผู้ใช้คลิกปุ่ม OK เพื่อตอบรับคำร้องข้อดังกล่าว นักพัฒนา ตลอดจนแฮคเกอร์จะสามารถก็อปปี้ภาพทั้งหมดในอุปกรณ์ iOS ได้อย่างสมบูรณ์ (รวมถึงข้อมูล GPS) ไปยังเซิร์ฟเวอร์บนอินเทอรฺ์เน็ต ทั้งหมดนี้ทำได้โดยไม่ต้องแจ้งเตือนใดๆ ทั้งสิ้น อย่างไรก็ตาม รายงานข่าวดังกล่าวยังไม่มีความชัดเจนว่า พบแอพฯ ที่มีพฤติกรรมการทำงานดังกล่าวใน App Store หรือไม่ แต่ที่แน่ๆ แหล่งข่าวอ้างว่า แอพฯ ทดสอบที่ยังไม่มีการเผยแพร่สามารถอัพโหลดภาพทั้งหมดในไลบรารี่ของผู้ใช้ได้อย่างสมบูรณ์ผ่านไดอะล็อกบ๊อกซ์ร้องขออนุญาตเข้าถึงข้อมูล […]

บริษัท Intego Security ผู้เชี่ยวชาญและผู้ผลิตโปรแกรมแอนตี้ไวรัสของแมคได้ออกมาประกาศเกี่ยวกับการค้นพบมัลแวร์ตัวใหม่ Flashback.G โดยมัลแวร์ตัวนี้มีความสามารถพิเศษคือสามารถติดตั้งและทำการโจมตีได้เลยโดยไม่ต้องอาศัยการโต้ตอบกับผู้ใช้ โดย Flashback.G จะมุ่งโจมตีไปที่บั๊กของจาวาซึ่งถูกค้นพบในปี 2008 ซึ่งทาง Apple ก็ได้ออกมาแพตซ์ช่องโหว่นี้แล้วเมื่อเดือนพฤศจิกายนที่ผ่านมา ซึ่งความร้ายกาจของมัลแวร์ตัวนี้ยังไม่หมดครับ หาก Flashback.G ไม่สามารถโจมตีไปที่บั๊กของจาวาได้ มันจะพยายามหลอกล่อให้ผู้ใช้คลิกเพื่อทำการรันโค้ด โดยจะปลอมแปลงตัวเองเป็นลายเซ็นต์ดิจิทัลของทาง Apple เมื่อเข้าสู่ระบบได้แล้วทางใดทางหนึ่ง มันจะทำการดาวโหลดโค้ดอันตรายรวมทั้งคีย์ล็อกเกอร์เพื่อดักจับการพิมพ์ผ่านแป้นคีย์บอร์ด และส่งข้อมูลเหล่านั้นให้แฮกเกอร์ต่อไป สำหรับวิธีป้องกันคือไม่ควรรันลายเซ็นดิจิทัลที่เชื่อถือไม่ได้ รวมทั้งใช้โปรแกรมแอนตี้ไวรัสครับ ที่มา – Computerworld ข่าวจาก Blognone โดย pe3z  

เราหลายๆ คนอาจจะรู้จัก John Nash จากภาพยนตร์เรื่อง The Beautiful Mind แต่เขาเป็นนักคณิตศาสตร์ที่ยังมีชีวิตอยู่ และยังทำงานวิจัยตลอดจนไปพูดตามงามประชุมวิชาการต่างๆ อยู่เรื่อยๆ ล่าสุดทาง NSA ได้เปิดเผยจดหมายของเขาถึงหน่วยงาน ที่ให้คำแนะนำเกี่ยวกับระบบการเข้ารหัสตั้งแต่ปี 1955 พร้อมเสนออัลกอริทึมการเข้ารหัสของเขา เขาแนะนำ NSA ว่าการเข้ารหัสควรอยู่ภายใต้แนวคิดความยากในการคำนวณ (Computational Complexity) แทนความซับซ้อนแบบอื่นๆ ซึ่งสุดท้ายแล้วโลกของการรักษาความปลอดภัยก็ใช้แนวทางนี้ในการเข้ารหัสกันเป็นเรื่องปรกติ และจดหมายยังได้บรรยายถึงความซับซ้อนว่าจะเพิ่มขึ้นในรูปแบบ exponential ตามความยาวของกุญแจเข้ารหัส ทำให้การแกะรหัสเป็นเรื่องที่แทบเป็นไปไม่ได้ นอกจากนี้เขายังบอกด้วยว่าความยากทางคณิตศาสตร์นี้เขาเองยังไม่สามารถพิสูจน์ได้ว่ามันยากอย่างที่อ้างจริงหรือไม่ กระบวนการที่ Nash อ้างถึงทั้งหมดเป็นเรื่องที่เรารู้กันดีอยู่แล้วในโลกของการเข้ารหัส ปัญหาของการพิสูจน์ความยากของปัญหายังคงไม่สามารถพิสูจน์ได้จากปัญหา P != NP จดหมายฉบับนี้บรรยายถึงกระบวนการเข้ารหัสที่เราใช้เป็นประจำ แต่กระบวนการเหล่านี้มีงานวิจัยอย่างเปิดเผยหลังจากที่ Nash เขียนจดหมายฉบับนี้ไป 20 ปี อัลกอริทึมที่เขาเสนอนั้นดูจะยังเป็นงานที่ไม่ค่อยสมบูรณ์นัก โดยยังมีจุดที่น่าสงสัยได้อีกหลายจุด อย่างไรก็ดี Ron Rivest (ตัว R ในชื่อ RSA) ก็ได้เขียนโปรแกรมทดสอบของอัลกอริทึมนี้เป็นภาษา Python แล้ว ที่มา […]

Symantec ออกคำเตือนว่าแอพบางตัวบน Android Market มีบ็อต-มัลแวร์ฝังอยู่ และอาจดูดข้อมูล IMEI/IMSI, MAC, SIM Serial ของเครื่องมือถือที่ติดตั้งได้ Symantec เรียกบ็อตตัวนี้ว่า Android.Counterclank หรือ Android.Tonclank (ชื่อแพกเกจคือ apperhand) ข้อมูลล่าสุด Symentec ตรวจสอบมันในแอพจำนวน 13 ตัวบน Android Market ซึ่งอาจมียอดดาวน์โหลดรวมกันสูงถึง 1-5 ล้านครั้ง อย่างไรก็ตาม การจะเรียกมันว่าเป็น “มัลแวร์” หรือไม่ยังเป็นที่ถกเถียง เพราะบริษัทความปลอดภัยอีกแห่งคือ Lookout Mobile ออกมาแสดงความเห็นแย้งกับ Symentec โดยบอกว่ามันไม่ใช่มัลแวร์ แต่เป็นบ็อตเก็บข้อมูลของเครือข่ายโฆษณาบางแห่งที่เก็บข้อมูลของผู้ใช้มากเกินความจำเป็น ที่มา – Symantec, Lookout Mobile, Android Central รายชื่อแอพที่ฝังบ็อตตัวนี้ได้แก่ Counter Elite Force Counter Strike Ground Force CounterStrike Hit Enemy Heart […]

ข่าวนี้ต่อจากข่าว Symantec ถูกแฮ็ก โดนขโมยซอร์สโค้ดของซอฟต์แวร์ความปลอดภัย 2 ตัว ล่าสุดทาง Symantec ออกมายอมรับแล้วว่าโดนกลุ่ม Anonymous เจาะระบบจริง และโดนขโมยซอร์สโค้ดของโปรแกรม (เวอร์ชันของปี 2006) ไปจำนวน 4 ตัว ได้แก่ Norton Antivirus Corporate Edition Norton Internet Security Norton SystemWorks (เฉพาะ Norton Utilities และ Norton GoBack) pcAnywhere อย่างไรก็ตาม Symantec ยังไม่สามารถพิสูจน์ได้ว่าซอร์สโค้ดของโปรแกรมตัวอื่นๆ โดยเฉพาะ Symantec Endpoint Protection 11 (ออกปี 2007) ถูกขโมยไปด้วยหรือไม่ แต่ “เชื่อว่า” (แถลงการณ์ใช้คำว่า “we do not believe”) มันไม่ถูกขโมยออกไปด้วย ในขั้นต้น Symantec ให้ความมั่นใจว่าโปรแกรมเกือบทุกตัวที่เอ่ยชื่อไปข้างต้นจะไม่ได้รับผลกระทบ […]