มีนักวิจัยในหลายๆ มหาวิทยาลัยออกมาเตือนผู้ใช้แอนดรอยด์ว่าพบช่องโหว่ใน authentication protocol หรือที่เรารู้จักในชื่อ ClientLogin Protocol ที่ทำให้แฮกเกอร์สามารถเข้าถึง Facebook, Twitter , Contacts ,บริการต่างๆ ของกูเกิล เช่น Google Calendar และเว็บไซต์ Picasa web albums
ในโปรโตคอลนี้หลังจากที่ผู้ใช้ login จะทำการเรียก authentication token ไปในรูปแบบของ clear text หรือข้อมูลที่ทำการส่งไปนั้นไม่ได้ทำการเข้ารหัสเลยเปิดโอกาสให้แฮกเกอร์ที่ได้รับ token นั้นปลอมตัวเป็นผู้ใช้ได้หากอุปกรณ์ที่เชื่อมต่ออินเตอร์เน็ตนั้นไม่ได้เข้ารหัสไว้ (unsecure network) อย่างเช่นพวก wifi hotspot ตามร้าน Starbucks
ผู้ใช้ที่เข้าข่ายใน 99% ที่มีความเสี่ยงในการถูกขโมยข้อมูลนั้นก็คือ ผู้ที่ใช้ Android 2.3.3 และต่ำกว่า แม้ว่ากูเกิลจะอัพเดต Android 2.3.4 แล้วก็ตามแต่ก็ยังพบช่องโหว่นี้ในการเข้าเว็บไซต์ Picasa web albums ในลักษณะเดิม ยังไงวิธีป้องกันที่ดีที่สุดคือควรหลีกเลี่ยงการเชื่อมต่อเครือข่ายอินเตอร์เน็ตที่ไม่ได้เข้ารหัสไว้แล้วกันนะครับ
ปล. น่าจะได้เห็น Android 2.3.5 เร็วๆ นี้
ที่มา: redmondpie , securelymobile.blogspot.com , neowin.net
นั้นนะสิ นั้นนะสิ คนเค้าดังทำยังไงได้ละ ใช่เปล่า
โอ้โห ตกใจเลยนิ ช่องโหว่เพียบ
โอ้ว 2.3.4 ของผมก็ไม่รอดหรือนี่ ….
ที่ทำงานผมเค้าปล่อยไวไฟแบบไม่ต้องมีรหัสผ่าน ใช้กันทั้งสำนักงานเลยนิ A99 2.2.2 ก็คงไม่รอด ชิมิ ชิมิ*o*
ถ้าอย่างงั้นเค้าต้องไปแก้ระบบ Picasa web แล้วละ
เรื่องนี้ในไทยพูดตรงๆ ตกใจกันใหญ่ทั้งที่หลายๆคนยังตั้งพาสเป็น 12345
= =!!
ดีนะผมตั้งเป็นเบอร์บ้าน เลยไม่เข้าข่าย 😀
แล้ว Captivate เมื่อไหร่จะมี 2.3.4 มาให้ใช้นะ
ผมไม่เคยใช้ข้อมูลส่วนตัวจริงกับแอปพวก social อยู่แล้ว กลัวเหมือนกัน
อยากรู้ว่า "โอกาสให้แฮกเกอร์ที่ได้รับ token นั้น" มีโอกาสเกิดขึ้นกี่ % ครับ
ถ้าเข้าข่ายก็จะโดนเลยครับ ถ้ามีแฮกเกอร์อยู่ และถ้าเป็นผมก็คงเอา wifi มาตั้งเอง
เพราะฉะนั้นก็ต้องระวังการเล่นเน็ตผ่าน wifi ที่ไม่ได้เข้ารหัสก่อนหละ อันดับแรก
ถามเพื่อนมาว่าต่อให้เข้ารหัส WEP ที่ตอนนี้เขาแฮกคีย์กันได้ทั่วบ้านทั่วเมืองก็โดนอยู่ดี
แนะนำว่าควรเข้า WPA, WPA II ไปเลย ฮ่าๆ
เอ๋ ในงาน Pwn2Own 2011 ก็รอดไม่ใช่หรอ
สงสัย… ต้องส่งเป็นไปรษณีย์แล้วอ่ะ … ว่าแต่ Hacker นี่จะมาแอบเปิด จม. ทุกฉบับไหมหนอ!?!?
ไม่ใช่… !!! น่าห่วงเนอะ แต่ก็… ถ้าเราไม่มีอะไรสำคัญ บนแหล่งๆ ที่ว่านั้น … (นอกเหนือจาก username + password แล้วล่ะก็) … จบ Hacker มันจะไปทำอะไรกับ Facebook ผมหว่า
หรือว่า … จะมาขอแจมร่วมโต๊อาหารด้วย หรือ… อยากรู้ว่าผมไปหม่ำร้านไหนมาบ้าง!!! (แซว …) บางทีผมก็อาจไม่ได้มองจุดที่ หลายๆ คนคำนึงนะครับ … แต่ก็เชื่อมว่า ถ้าได้ข้อมูเหล่านั้นไป มันก็อันตราย
ก็…ขอให้มีอะไรมาป้องกันโดยเร็วล่ะกันครับ! หวังๆ อยู่
แฮคเกอร์ไม่ได้มีอยู่ทุกหนทุกแห่ง ยิ่งแฮคเกอร์ที่เชี่ยวชาญยิ่งหายาก อย่าไปกลัวตกใจมากมายจนทำให้ต้องเสียงาน แต่ก็อย่าประมาทเช่นกันครับ ก็ลองหาช่องทางเชื่อมต่ออื่นที่ปลอดภัยเท่าที่จะทำได้ไปก่อน
ผมไม่ต่อ public wifi อยู่ละ ถ้าจำเป็นต้องต่อก็จะ vpn ซ้ำอีกที 😛
ถ้า taken คงมันเนอะ อิอิ
ผมต้องกลัวใหมเนี่ย
แล้วผมจะตายมั๊ยครับ… ผมกลัว โดนคนอื่นรู้ว่าผมอยู่บางแสน(อ่าวเวรกรรมบอกเค้าหมด)
อัพเดท ทางกูเกิลแก้จากฝั่ง server แล้วนะครับ ไม่มีอะไรน่าเป็นห่วงละ
หารู้ไม่ว่า ผู้ใช้ ios 99.99% มีความเสี่ยงในการถูกขโมยเงินในกระเป๋าตัง อิอิ
แล้วเมื่อไหร่ 2.3.5 มันจะออกหล่ะเนี่ย -*-
แก้แล้วนิครับ
ขอยืมข่าวจาก บล๊อกนั้น นะครับ
http://www.blognone.com/news/23761