ISAC Cambodia (InfoSec)
GeneralSecurity News

Critical Flaws in Apple, Samsung Devices

កំហុសឆ្គងដែលទើបតែរកឃើញថ្មីៗចំនួនពីរ នៅក្នុង Android និង iOS និងផលិតផលរបស់ក្រុមហ៊ុន ​Apple គឺបានធ្វើឲ្យប៉ៈពាល់ជាខ្លាំងទៅដល់អ្នកប្រើប្រាស់ រាប់សិនលាននាក់ជុំវិញពិភពលោក ។

ទីមួយនោះគឺ Zero-day bug ដែលរកឃើញនៅក្នុង iOS និង OS X ដែលអនុញ្ញាតឲ្យមានការលួចយកនូវ Keychain (Apple’s password management system) ហើយនឹង APP Passwords។ កំហុសឆ្គងនោះ ត្រូវបានបង្ហាញនៅក្នុងឯកសារ academic paper (PDF) បញ្ចេញដោយអ្នកស្រាវជ្រាវមកពី Indiana University, Peking University and the Georgia Institute of Technology, ដែលពាក់ព័ន្ធទៅនឹង ចំនុចខ្សោយមាននៅក្នុងជំនាន់ចុងក្រោយបង្អស់នៃប្រព័ន្ធប្រតិបត្តិការរបស់ Apple ដែលអនុញ្ញាតឲ្យកម្មវិធីដែលទទួលបានសិទ្ធិអនុញ្ញាតសម្រាប់ធ្វើការទាញយក នៅក្នុង Apple Store អាចធ្វើការជ្រៀតចូលដោយមិនមានសិទ្ធិអនុញ្ញាត (unauthorized access) ទៅកាន់ទិន្នន័យរបស់កម្មវិធីផ្សេងៗទៀតបាន។

អ្នកស្រាវជ្រាវក៏បានសរសេរបន្ថែមទៀតថា “ជាពិេសសទៅទៀតនោះ វាអាចមានលទ្ធភាពក្នុងការលួចយកព័ត៌មានសំខាន់ៗមួយចំនួនដូចជា Password របស់ icloud, email and bank និង secret token របស់កម្មវិធី Evernote ជាដើម” ។

keychain

ក្រុមអ្នកស្រាវជ្រាវបានធ្វើតេស្តសម្រាប់ការរកឃើញរបស់ខ្លួន ដោយធ្វើការបញ្ជៀសនូវការត្រួតពិនិត្យសន្តិសុខយ៉ាងល្អិតល្អន់នៃ Apple Store ហើយកម្មវិធី វាយប្រហាររបស់ពួកគេទទួលបានការអនុញ្ញាតពី Apple Store ក្នុងខែមករា ឆ្នាំ២០១៥។ មានកម្មវិធីច្រើនជាង ៨៨ភាគរយ គឺអាចមានលទ្ធភាពធ្វើការ វាយប្រហារទាំងអស់។

សម្រាប់ពេលនេះ យោបល់ដ៏ល្អបំផុតនោះគឺ ត្រូវមានការប្រុងប្រយ័ត្ននៅពេលដែលធ្វើការទាញយកកម្មវិធីពី អ្នកអភិវឌ្ឍន៍មិនស្គាល់ (ទោះបីជានៅក្នុង iOS និង Mac App Stores ក៏ដោយ) ហើយមានការប្រុងប្រយ័ត្នខ្ពស់នៅរាល់ពេលដែលអ្នកត្រូវបានប្រាប់ឲ្យធ្វើការ login ។

SAMSUNG KEYBOARD FLAW

ក្នុងករណីមួយផ្សេងទៀត អ្នកស្រាវជ្រាវនៅក្នុងក្រុមហ៊ុនសន្តិសុខឧបករណ៍ចល័ត NowSecure បានបញ្ចេញនូវព័ត៌មានថា ពួកខ្លួនបានរកឃើញនូវកំហុសឆ្គងដ៏ ធ្ងន់ធ្ងរមួយនៅក្នុងកម្មវិធី third-party keyboard app ដែលភ្ជាប់មកជាមួយស្រាប់នៅក្នុងទូរស័ព្ទសាំងស៊ុងច្រើនជាង ៦០០លានគ្រឿង ដោយរួមមានទាំង Galaxy S6 ផងដែរ។ កំហុសឆ្គងនេះ អនុញ្ញាតឲ្យអ្នកវាយប្រហារធ្វើការភ្ជាប់ពីចំងាយចូលទៅកាន់ GPS, Camera និង Microphone, បញ្ចូលកម្មវិធីមិនល្អដោយស្ងាត់ៗចូលទៅក្នុងឧបករណ៍, លួចចាប់យកនូវសារចេញនិងចូរ ឬទូរស័ព្ទ និងការចូលទៅកាន់បណ្តុំរូបភាព និងសារខ្លីៗផងដែរ។

ចំណុចខ្សោយនេះមាននៅក្នុងកម្មវិធីមានឈ្មោះថា Swift Keyboard ដែលដំណើរការនៅក្នុងឧបករណ៍សាំស៊ុង។ ក្រុមហ៊ុន NowSecure បានជូនដំណឹង ទៅដល់ក្រុមហ៊ុនក្នុងខែវិច្ឆិកា ២០១៤ ហើយបន្តមកទៀតក្នុងខែមិនា ២០១៥ ក្រុមហ៊ុនសាំសុងបានរាយការណ៍មកថា បានបញ្ញេញនូវ patch នៅក្នុងជំនាន់ ៤.២ និងថ្មីជាងនេះ ហើយក៏មានការស្នើសុំ ៣ខែបន្តទៀតមុនពេលធ្វើការបញ្ចេញជាសាធារណៈ។ ក្រុមការងារសន្តិសុខរបស់ Google ត្រូវបានជូនដំណឹងក្នុងខែ ធ្នូ ២០១៤។

វាមានការលំបាកក្នុងការកំណត់ថាតើ មានឧបករណ៍ប៉ុន្មានដែលនៅតែទទួលរងផលប៉ៈពាល់។ ខាងក្រោមនេះគឺជាបញ្ជីនៃប្រភេទទូរស័ព្ទសាំស៊ុង។

swift-carrier

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button