Saturday, March 16, 2013
บริษัทอิสราเอล เผยช่องโหว่ร้ายแรงใน iOS ในส่วนของ "mobileconfig"
ชอบบทความนี้ ช่วยกันคลิก like/ถูกใจ/+1 กันนะครับ
บริษัทสัญชาติอิสราเอล "Skycure Security" ได้เผยแพร่รายงานช่องโหว่ที่ อนุญาตให้แฮกเกอร์ สามารถควบคุม และขโมยข้อมูลจาก iOS Devices โดยใช้ช่องโหว่ที่มีอยู่ในไฟล์ "mobileconfig"
สำหรับไฟล์ "mobileconfig" นั้นถูกใช้โดย ผู้ให้บริการเครือข่ายมือถือ ที่สามารถตั้งค่าระดับ system setting กับอุปกรณ์ที่ใช้ iOS เช่น Wi-Fi, VPN, email, APN settings โดยการวิจัยช่องโหว่นั้น ได้ทำการทดลองสร้างเว็บไซต์ลวงเพื่อหลอกล่อให้ผู้ใช้งานทำการติดตั้งโปรไฟล์ของอุปกรณ์ผ่านทางโฆษณาชวนเชื่อบนเว็บไซต์ และข้อความที่แนบมากับอีเมลต่างๆ โดยโปรไฟล์นี้จะอยู่ในลักษณะโปรแกรมขนาดเล็กที่ถูกใช้บ่อยในการตั้งค่าของเครื่องเช่น การบังคับปิด EDGE/3G เพื่อป้องกันการรั่วเมื่อไม่ได้ใช้งาน แต่ในกรณีนี้แฮกเกอร์ได้สร้างโปรไฟล์ซึ่งสามารถเข้าถึงข้อมูลของผู้ใช้รวมไปถึงทำอะไรที่อาจจะสร้างความเสียหายได้ โดยลักษณะของการโจมตีผ่านทางโปรไฟล์นี้อยู่นอกเหนือการทำงานของ sandbox ซึ่งควบคุมเพียงแค่แอพและการเข้าถึงเว็บไซต์เท่านั้น
กรณีนี้เคยเกิดขึ้นกับบริษัท AT&T มาแล้วผ่านทางช่องโหว่เดียวกัน โดยแฮกเกอร์ได้เข้าไปตั้งค่า APN ของอุปกรณ์และทำให้สามารถเข้าถึงข้อมูลของทาง AT&T ได้ สำหรับวิธีการป้องกันคือ ควรติดตั้งโปรไฟล์ต่างๆ จากเว็บไซต์ที่เชื่อถือได้เท่านั้น เช่น มีการใช้ HTTPS/SSL ในการยืนยันเว็บไซต์และเพื่อป้องกันการโจมตีแบบ man-in-the-middle ด้วย
ที่มา : Skycure Security ผ่านทาง Blognone
บทความนี้เขียนและเรียบเรียงโดย: ST.GiZMo
ติดตามข่าวสาร ของ iPhone, iPad ได้ทาง อีเมล, RSS feed หรือ Facebook Page รับรองไม่พลาดข่าว และบทความน่าสนใจ ส่งตรงถึงคุณทุกวัน ถ้าหาเรื่องที่ต้องการไม่เจอ ลอง ค้นหาข้อมูลในกล่อง search รับรองเจอง่าย ในคลิกเดียว ติดต่อ AppTube ได้ที่ "iphoneapptube @ gmail.com"
0 Responses to “บริษัทอิสราเอล เผยช่องโหว่ร้ายแรงใน iOS ในส่วนของ "mobileconfig"”
Post a Comment