แอปเปิลเพิ่งปล่อยอัพเดต iOS 6.1.6 และ 7.0.6 เพื่อแก้บั๊ก SSL ไปได้ไม่นาน FireEye บริษัทด้านความปลอดภัยก็ออกมาเผยช่องโหว่ตัวใหม่ที่เปิดให้แอพสามารถเก็บข้อมูลการพิมพ์ (keylogging) ของอุปกรณ์ที่รัน iOS 7.0.x และ 6.1.x ได้โดยไม่ต้องเจลเบรกได้แล้ว
จากรายงานของ FireEye ระบุว่าบริษัทได้ทดลองทำแอพเพื่อเก็บข้อมูลตำแหน่งที่สัมผัสบนหน้าจอได้ แม้ว่าตัวแอพจะไม่ได้เป็นแอพหลักที่ทำงานอยู่ก็ตาม ซึ่งนอกจากจะเก็บตำแหน่งบนหน้าจอแล้ว ยังรวมไปถึงปุ่มกดต่างๆ ตั้งแต่ปุ่มโฮม ปุ่มปรับเสียง รวมถึงการแสกนลายนิ้วมือผ่าน TouchID และยังสามารถส่งข้อมูลดังกล่าวกลับไปยังผู้สร้างแอพได้อีกด้วย
จากข้อมูลที่ออกมานั่นหมายความว่า ถ้าผู้ใช้มีแอพที่ว่าอยู่ในเครื่อง อาจถูกดักข้อมูลนำไปใช้โจมตีได้ โดยหนทางแก้อย่างเด็ดขาดคงต้องให้แอปเปิลรีวิวโค้ดของแอพละเอียดยิ่งขึ้น (แม้ว่าตอนนี้จะเขี้ยวมากแล้วก็ตาม)
สำหรับวิธีการลดความเสี่ยงในตอนนี้คือพยายามปิดแอพที่รันอยู่เบื้องหลัง หรือปิดการรีเฟรชข้อมูลของแอพเบื้องหลังจากเมนูตั้งค่าไว้ก่อนกันเหนียวครับ
ที่มา - gigaOM
Comments
จะโดนขโมยรอยนิ้วมือไหมเนี่ย
สงสัย แค่เก็บข้อมูลว่ามีการสแกนลายนิ้วมือหรือว่าส่งลายนิ้วมือเรากลับไปหาผู้สร้างแอพด้วย?
ข่าวน่าจะหมายถึง เก็บ"พิกัดของนิ้วมือ" ในการกดนะครับ ซึ่งพิกัดเนี่ย ก็เอามาแปลเป็นตัวอักษรบน Touch Screen Keyboard ได้ แล้วก็ค่อยเอาไปดักจับเป็นรหัสผ่านอีกทีมากกว่านะครับ
ส่วนลายนิ้วมือ ถ้าจำไม่ผิด Apple บอกว่า ไม่มี API ส่วนนี้ และเก็บข้อมูลเป็นแบบ เข้ารหัสแล้วโดยเก็บไว้ใน หน่วยความจำบนชิปประมวลผลนะครับ ไม่น่าจะหลุดไปได้
เว็บต้นทางบอกว่าสามารถเก็บข้อมูการทัช และกดปุ่มต่างๆ รวมถึงการใช้งาน Touch ID ด้วย ไม่น่าจะส่งลายนิ้วมือกลับไปได้ น่าจะแค่มีการส่งข้อมูลว่ามีการใช้นะครับ
รอซ่อมใน 7.1 สินะ แล้วเมื่อไหร่เวอร์ชั่นนี้มันจะออกล่ะเนี่ยยย
คาดว่ามีนานี้ อาจจะออก GM และเวอร์ชันเต็มเลยครับ
ที่ยังไม่ทิ้ง iphone เพราะใช้งานเกี่ยวกับธุรกรรมเป็นหลักเลยนะ แต่ก็ไม่ได้ลง app อะไรมาก