แอปเปิลชี้ ยังไม่มีผู้ใช้ได้รับผลกระทบจาก Masque Attack, ให้ลงแอพจาก App Store เท่านั้น

By: nismod

on 14 November 2014 - 20:33 Tags:

Topics:

Apple

Security

Information Security

iOS

เป็นข่าวใหญ่ด้านความปลอดภัยของผู้ใช้ iOS ไปเมื่อหลายวันก่อนกับ Masque Attack หรือช่องโหว่ที่จะทำให้แอพที่ไม่พึงประสงค์สามารถปลอมตัวเป็นแอพอื่น และล้วงข้อมูลทุกอย่างในเครื่องผู้ใช้ไปได้ วันนี้ทางแอปเปิลได้ชี้แจงถึงปัญหานี้แล้วครับ

แอปเปิลบอกว่าทั้ง OS X และ iOS มีระบบรักษาความปลอดภัยที่จะป้องกันและแจ้งเตือนผู้ใช้ทุกครั้งที่จะลงแอพที่มีความเสี่ยง และชี้ว่ายังไม่มีผู้ใช้รายใดที่ได้รับผลกระทบจากช่องโหว่นี้ รวมไปถึงแนะนำว่าให้ดาวน์โหลดแอพจากแหล่งที่เชื่อถือได้อย่าง App Store เท่านั้น

นอกจากนั้นแอปเปิลยังชี้แจงว่าการจะได้รับผลกระทบจาก Masque Attack นั้น จะเกิดจากตัวผู้ใช้เอง ที่เลือกกด ' Trust ' เมื่อเครื่องแจ้งเตือนเพื่อลงแอพจากแหล่งอื่นที่ไม่ใช่ App Store นั่นเองครับ

ที่มา - MacRumors

Hiring! บริษัทที่น่าสนใจ

Seven Peaks

We Drive Digital Transformation

CDG GROUP

Provider of IT solutions to public, state, and private sectors in Thailand for over 56 years

LINE Company Thailand

LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call

Comments

By: eiken

on 14 November 2014 - 21:26 #763776

คือเข้าใจว่าคนจำนวนไม่น้อยไม่อยากอยู่ในคุกกระจก แต่เอาจริงๆ "ร้านค้าตัวแทนจำหน่ายที่ผู้ประกอบการไม่ได้รับรอง มันมีความจำเป็นที่เขาต้องรับผิดชอบด้วยเหรอ?"

By: popconpor

on 14 November 2014 - 21:27 #763777

มันจะไม่มีได้ไง ข่าวออกโจ่งแจ้ง ถ้าไม่มีปัญหานี้มันจะมีข่าวหรอ แก้ตัวน้ำขุ่นฯทุกครั้ง

By: 白羊

on 14 November 2014 - 21:54 #763786 Reply to:763777

ถ้าคิดว่ามีผู้เสียหาย ก็หามาสิครับ ประกาศ
ตามล่า แล้วรวมตัวกัน อะไรกันก็ว่าไป เสร็จก็แจ้งทาง Apple
http://www.apple.com/support/contact/ ซะ ให้รับผิดชอบ

By: popconpor

on 14 November 2014 - 22:03 #763791 Reply to:763786

ใช้คำผิดนะครับ ผู้ได้รับผลกระทบ กับผู้เสียหายมันต่างกันนะครับ apple ใจปลำขนาดจ่ายค่าเสียหาทุกคนบริษัทคงเจ๋งแล้ว ให้ลิ้งมาก็เต็มที่ได้แค่แจ้งให้ รู้เท่านั้นแหละ้

ถ้าผมหาให้คุณขอค่าเสียเวลาซักพันเอามั้ยครับ ไม่มากเลยผมไม่ทำงานฟรีนะ

By: 白羊

on 14 November 2014 - 22:10 #763798 Reply to:763791

สงสัยเอง ก็หาหลักฐานเองสิครับผมไม่ได้บอกว่าอยากรู้ อยากเห็นว่ามีหนิ

By: plawanja

on 14 November 2014 - 22:58 #763808 Reply to:763777

อย่าเชื่อในสิ่งที่ได้ยินต่อๆ กันมา

By: Choblizz

on 14 November 2014 - 22:29 #763801

ผมมองว่า เป็นปัญหาที่ apple ต้องแก้และป้องกันไม่ให้เกิด

แต่ไม่ใช่ปัญหาที่ต้องรับผิดชอบชดใช้ค่าเสียหาย เพราะจริงๆน่าจะเป็น user error เองซะเกือบหมด (?)

By: Bluetus

on 14 November 2014 - 22:44 #763805

Apple ควรหาวิธีปิดช่องโหว่ แต่ไม่จำเป็นต้องรับผิดชอบ

เพราะไม่ต่างกับการโหลดไฟล์บิตเองแล้วติดไวรัส

By: errin on 14 November 2014 - 23:07 #763809

มันกรณีเดียวกับโหลดโปรแกรมมาลงวินโดวส์แล้วติดไวรัสมั้ยครับ?

By: Architec

on 14 November 2014 - 23:11 #763811

ต้องจ่ายค่า License เท่า Windows ถึงจะมีอัพเดทให้บ่อยๆ? ออกแพทช์ช้าเหลือเกิน

แมคสองเครื่องที่บ้านจะกลายเป็นที่ทับกระดาษไหมนั่น?

By: gamegolf

on 15 November 2014 - 03:23 #763830

ios โหลดแอพนอก store ได้ด้วยหรอครับถ้าไม่ jb คือผมไม่รู้จิงๆ

By: cmmadnat

on 15 November 2014 - 09:04 #763843 Reply to:763830

Mac ลงได้ครับ. แต่มันจะขึ้นเตือนไว้ที่จริงน่าจะลงแหล่งนะว่าแอพไหนที่ทำให้ติดบ้าง จะได้ไปเช็ค

ปล. App store มีแต่ของเสียตัง ไม่ใช่ถูกๆ ด้วย ที่ต้องลงจากแหล่งอื่นก็เพราะมัน open source เนี่ยแหล . ไม่ได้บิทมาเลยแม้แต่น้อยแน่จริงคุณ package open source มาให้ครบ อัพเดตถี่สิ กล้าพูดว่าให้โหลดจาก Mac store เท่านั้น Mac store มี chrome ไหม???

By: Bigkung

on 15 November 2014 - 09:39 #763850 Reply to:763843

เขาถาม iOS นะครับ ทำไมตอบเป็น OS X หล่ะครับ

By: Infinity88

on 15 November 2014 - 10:04 #763854 Reply to:763830

iOS สามารถติดตั้งแอพผ่านหน้าเวปได้เลยโดยไม่ต้องjbครับ ถ้าไม่เชื่อเข้าเวบนี้ผ่านSafariบนiosดู http://www.tongbu.com

By: PandaBaka

on 15 November 2014 - 15:37 #763906 Reply to:763854

มันก็ขึ้นแจ้งเตือนอยู่ดีนิ = =)

By: Infinity88

on 15 November 2014 - 18:32 #763934 Reply to:763906

ก็เขาแค่ถามว่าลงแอพนอกสโตร์ได้ไหมนิครับ ผมก็เอามาให้ดูว่ามันลงได้แค่นั้นเอง

By: redgene

on 15 November 2014 - 22:16 #763963 Reply to:763830

ได้ครับ แต่ dev ที่ให้โหลดผ่านนอก store ได้ต้องมี license enterprise version ครับ

By: mrGang

on 17 November 2014 - 00:13 #764104 Reply to:763830

kuaiyong ไงครับ หรือ iTools ก็ได้

By: ตะโร่งโต้ง

on 15 November 2014 - 13:26 #763880

แล้วที่เขาพบว่า WireLurker ระบาดมาเป็นเดือนนี่ Apple ไม่นับว่ามีผู้ได้รับผลกระทบหรือ?

ช่างไฟสมัครเล่น (- -")

By: put4558350

on 16 November 2014 - 16:50 #764044 Reply to:763880

ช่องโหว่ icloud รู้ล่วงหน้า 6 เดือนไม่ยอมอุด จนมีรูปหลุดยังบอกว่าระบบไม่ใด้โดนเจาะเลยครับ

samsung ใหญ่แค่ใหน ?https://youtu.be/6Afpey7Eldo

By: bflower

on 18 November 2014 - 00:28 #764384 Reply to:764044

แบบนี้ด้วยหรือเปล่า พบช่องโหว่ใหม่บน Android, 99% อยู่ในข่ายได้รับผลกระทบ ตามด้วย ระวัง! ช่องโหว่ใน Android ปล่อยให้แอพสั่งถ่ายภาพเองได้โดยผู้ใช้ไม่รู้ตัว จนถึง พบช่องโหว่ความปลอดภัยใหม่ใน Android กระทบทุกรุ่น ทำให้โทรจันสามารถสวมรอยขอใช้สิทธิ์ได้ไม่จำกัด

By: popconpor

on 18 November 2014 - 16:18 #764614 Reply to:764384

Googleตามแก้มาตลอดนะครับเพียงแต่ รุ่นเก่าฯไม่ได้อัพเดทเวอชั่นเท่านั้นเอง ไม่ค่อยปลอยทิ้งเหมือนapple ที่ดีแต่พูดเอาหน้า
แถมพัฒนาไป 19LVแล้วนะครับแถมใส่ไรใหม่ฯมาเยอะมาก ตอนนี้ v.5.0 หลายอย่างที่คุณบอกโดนแก้ไปแล้วนะ
99%ตอนนี้คงไม่ถึงแล้วมั้งครับ android 4.4.4 ก็เยอะขึ้นแล้ว

By: bflower

on 19 November 2014 - 00:41 #764775 Reply to:764614

ถ้าดูตามไทม์ไลน์ของข่าว พบช่องโหว่ใหม่บน Android, 99% อยู่ในข่ายได้รับผลกระทบ

Bluebox Security บริษัทสตาร์ทอัพด้านความปลอดภัยบนมือถือรายงานช่องโหว่ใหม่ในมือถือที่ใช้ระบบปฏิบัติการ Android ตั้งแต่รุ่น 1.6 (Donut) ขึ้นไป ซึ่งหมายความว่าเครื่องที่ออกมาภายใน 4 ปีหลังสุดซึ่งคิดเป็นจำนวนเกือบ 900 ล้านเครื่องมีโอกาสที่จะได้รับผลกระทบจากช่องโหว่นี้

แอนดรอยด์ 1.6 โดนัท เปิดตัว 2552 + 4 = 2556 มีโอกาสได้รับผลกระทบนี้ ซ้ำยัง พบช่องโหว่ความปลอดภัยใหม่ใน Android กระทบทุกรุ่น ทำให้โทรจันสามารถสวมรอยขอใช้สิทธิ์ได้ไม่จำกัด แอนดรอยด์ 2.1 เอแคลร์ อีกในปี 2553 ข่าวนำเสนอวันที่ 30/07/14 0:17 (ประมาณ 4 ปี)

รายงานช่องโหว่ใหม่ในมือถือที่ใช้ระบบปฏิบัติการ Android ตั้งแต่รุ่น 2.1 ขึ้นไป ในขบวนการตรวจสอบลายเซ็นดิจิทัล ช่องโหว่ดังกล่าวทำให้แฮกเกอร์สามารถทำให้แอพโทรจัน

ช่องโหว่ดังกล่าวจะร้ายแรงยิ่งขึ้นเมื่อปลอมตัวเป็นแอพที่พัฒนาโดยผู้ผลิตหรือแอพใดๆ ที่สามารถเข้าถึงข้อมูลระดับลึกได้ แฮกเกอร์อาจเข้าถึงข้อมูลบัญชีผู้ใช้ หรือยิ่งไปกว่านั้น เข้าควบคุมเครื่องโดยสมบูรณ์ ซ้ำร้ายกว่านั้นโทรจันตัวเดียวสามารถปลอมใบรับรองให้เป็นแอพหลายตัวได้ในเวลาเดียวกัน ทำให้สามารถหว่านแหเพื่อให้ครอบคลุมผู้ผลิตหรือแอพชื่อดังหลายตัวได้ในคราวเดียว

ต่อมากับ nexus 5 เปิดตัวพร้อมกับแอนดรอยด์ 4.4 คิดแคทในปี 2556 ระวัง! ช่องโหว่ใน Android ปล่อยให้แอพสั่งถ่ายภาพเองได้โดยผู้ใช้ไม่รู้ตัว

By: popconpor

on 19 November 2014 - 15:45 #764970 Reply to:764775

จุจุ เข้ารหัสรายเซ็นของคุณโดนแก้ไปตั้งนานแล้วครับ

การส่งมัลแวร์ลงอุปกรณ์ด้วยวิธีนี้ ยังคงเป็นแค่ทฤษฏีอยู่ครับ โดยเฉพาะการส่งผ่าน Play Store ยิ่งเป็นไปไม่ได้ เนื่องจากทาง Google ได้อัพเดทแพลทฟอร์มป้องกันเอาไว้อยู่แล้ว แต่จะมีผลในกรณีที่ผู้ใช้ ดาวน์โหลดแอพพลิเคชั่นมาจากแหล่งอื่น โดยเฉพาะแหล่งที่ไม่น่าเชื่อถือ ทำให้มีความเสี่ยงที่จะถูกจู่โจมด้วยช่องโหว่นี้

มีบัคอื่นฯอีกอย่าง
Bug: Exchange Mail โดนแก้ไปแล้ว คลิกที่นี่

Bug: Hijacked Sharing คลิกที่นี่

Bug: SMS DOS โดนแก้ไปแล้ว คลิกที่นี่

ส่วน OpenSSL, WebView, and Chromium projects โดนแก้ไปแล้วเหมือนกันไปหาอ่านเอา

อีกอย่างครับเคยติดตามข่าวป่าวครับ android 5.0 มีการป้องกันการถึงข้อมูลของเครื่องแล้ว
- อุปกรณ์ที่เปิดใช้งานใหม่ จะมาพร้อมกับการเข้ารหัสข้อมูลทั้งหมด- แอพทุกตัวจะถูกบังคับให้ใช้ SELinux (Security-Enhanced Linux) เพื่อการป้องกันการโจมตีจากมัลแวร์ต่างๆ
- Android Smart Lock เพิ่มความปลอดภัยในการเชื่อมต่ออุปกรณ์ของคุณกับ wearable devices หรือแม้แต่รถของคุณ

เพราะฉนั้นการถ่ายรูปเองของคุณสามารถทำได้โดยการเจาะ ทั้งหมด ซึ่งทำยากมากเพราะทำงานแต่ละแอพมีการเข้ารหัสทั้งหมด

ผมอยากจะบอกว่า apple ดีแต่แถไง แต่ google แก้จริงรวมถึงส่งข้อมูลความปลอดภัยไปให้ apple บางครั้งด้วยสิ่งที่คุณบอกมามันโดนอุดช่องโหวไปแล้วทั้งหมด พิศร้ายของ android มีอย่างเดียวคือไม่ได้อัพ vision ใหม่เท่านั้นเอง

ไปเล่นในนี้เลยครับ มีชุดทศสอบที่คุณต้องการแน่นอน ไอ 99% ของคุณนะ เล่นที่นี่ อะไรที่รู้น้อยฯช่วยสงบไว้ก้อดีนะครับ