ช่องโหว่ 0-day ที่บริษัทเฝ้าระวังเชิงพาณิชย์ในอียิปต์นำไปใช้

 (blog.google)
1 คะแนน โดย GN⁺ 2023-09-23 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Google Threat Analysis Group (TAG) และ The Citizen Lab ค้นพบเส้นทางการโจมตี 0-day สำหรับ iPhone ที่พัฒนาโดย Intellexa ซึ่งเป็นบริษัทเฝ้าระวังเชิงพาณิชย์
  • เส้นทางการโจมตีนี้ถูกใช้เพื่อติดตั้งสปายแวร์ Predator ของ Intellexa ลงบนอุปกรณ์โดยที่ผู้ใช้ไม่รู้ตัว
  • Apple ได้แก้ไขบั๊กดังกล่าวใน iOS 16.7 และ iOS 17.0.1 ภายใต้รหัส CVE-2023-41991, CVE-2023-41992, CVE-2023-41993 และแนะนำให้ผู้ใช้ iOS ทุกคนติดตั้งแพตช์นี้โดยเร็วที่สุด
  • เส้นทางการโจมตีถูกส่งผ่าน "การโจมตีแบบคนกลาง" (MITM) ซึ่งเป็นการที่ผู้โจมตีดักทราฟฟิกเว็บของเป้าหมายแล้วเปลี่ยนเส้นทางไปยังเว็บไซต์อื่น
  • เส้นทางการโจมตีบน iOS มีช่องโหว่ 3 รายการ: การรันโค้ดจากระยะไกลเริ่มต้นใน Safari, การข้าม PAC, และการยกระดับสิทธิ์ภายในเครื่องบนเคอร์เนล XNU
  • ผู้โจมตียังมีเส้นทางการโจมตีเพื่อติดตั้ง Predator บนอุปกรณ์ Android ในอียิปต์ ทั้งผ่านการแทรก MITM และลิงก์ใช้ครั้งเดียวที่ส่งตรงถึงเป้าหมาย
  • Chrome กำลังผลักดันให้มีการใช้งาน HTTPS อย่างแพร่หลายทั่วทั้งเว็บเพื่อรับมือกับการโจมตีแบบ MITM และมี "HTTPS-First Mode" ที่พยายามโหลดทุกหน้าผ่าน HTTPS
  • แคมเปญนี้เป็นตัวอย่างของความเสี่ยงจากบริษัทเฝ้าระวังเชิงพาณิชย์และผลกระทบที่พวกเขามีต่อความปลอดภัยของผู้ใช้ออนไลน์
  • TAG มีแผนจะดำเนินมาตรการต่ออุตสาหกรรมสปายแวร์เชิงพาณิชย์ต่อไป เผยแพร่งานวิจัยเกี่ยวกับเรื่องนี้ และร่วมมือกับทั้งภาครัฐและเอกชนเพื่อผลักดันงานดังกล่าว
  • The Citizen Lab ได้รับการยกย่องสำหรับความร่วมมือและความเป็นพันธมิตรในการตรวจจับและวิเคราะห์การโจมตีเหล่านี้ และ Apple ก็ได้รับคำขอบคุณที่ปล่อยแพตช์ได้อย่างทันท่วงทีเพื่อความปลอดภัยของผู้ใช้ออนไลน์

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-09-23
ความคิดเห็นจาก Hacker News
  • บทความเกี่ยวกับปัญหาที่บริษัทเฝ้าระวังเชิงพาณิชย์ของอียิปต์นำช่องโหว่ 0-day ไปใช้ประโยชน์
  • มีการตั้งคำถามถึงลักษณะของการหลบหนี sandbox บน Android และเกิดความกังวลเกี่ยวกับแพตช์ของ Chrome
  • แคมเปญแบบเจาะจงเป้าหมายซึ่งรวมถึงการดักจับ HTTP และลิงก์ใช้ครั้งเดียวเป็นเส้นทางการโจมตี แต่ก็มีความกังวลว่าวิธีนี้อาจถูกนำไปใช้อย่างแพร่หลายเพื่อสร้างบอตเน็ตผ่านแคมเปญโฆษณาหรือสแปม หรือขโมยข้อมูลรับรองของผู้ใช้
  • การโจมตีใช้ HTTP เพื่อฉีดเพย์โหลดเริ่มต้น แต่มีข้อเสนอแนะว่าผู้โจมตีที่ได้รับการสนับสนุนจากรัฐอาจสามารถยึดครองโครงสร้างพื้นฐานของ CA หรือ CDN ได้
  • มีการตั้งคำถามว่าทำไมบริษัทยักษ์ใหญ่ด้านเทคโนโลยีอย่าง Google และ Apple จึงไม่จ้างพนักงานจากบริษัทสปายแวร์และบริษัท 0-day เพื่อค้นหาช่องโหว่เหล่านี้
  • มีข้อสงสัยว่าช่องโหว่นี้อาจถูกทางการอียิปต์ใช้เพื่อแฮ็กโทรศัพท์ของอาเหม็ด เอล ตันตาวี ผู้สมัครชิงตำแหน่งประธานาธิบดี
  • ผู้ใช้บางส่วนกำลังใช้มาตรการป้องกันตนเอง เช่น ติดตั้งอัปเดตและเปิดใช้โหมด HTTPS-Only
  • มีการคาดเดาว่า Google อาจเปิดเผยโดเมนที่บริษัทใช้งานอยู่ ซึ่งอาจนำไปสู่การลงประชาทัณฑ์ได้
  • มีการกล่าวถึงข้อเท็จจริงที่ว่าโหมด Lockdown ของ iOS สามารถบล็อกห่วงโซ่การโจมตีนี้ได้
  • มีการตั้งคำถามว่าหากปิดใช้งาน JavaScript เป็นค่าเริ่มต้น การโจมตีนี้จะยังคงทำงานได้หรือไม่