หลังจากงาน Pwn2Own จบลงไปโดยมี Nexus 6P และ iPhone โดนเจาะระบบไปทั้งคู่ แล้ว Pixel ที่เป็นมือถือใหม่ล่าสุดรุ่นแรกจาก Google หละ? หลายคนคงสงสัย ล่าสุดในงาน PwnFest ซึ่งจัดขึ้นที่ประเทศเกาหลีใต้ก็ได้มีการให้กลุ่ม White Hat Hacker หรือกลุ่มแฮคเกอร์ทำประโยชน์ (อารมณ์ประมาณ พ่อมดขาวแกนดาล์ฟ) มาแข่งกันแฮคระบบและอุปกรณ์ต่างๆ กันอีกรอบ ซึ่งในงานนี้ Pixel ของเราก็โดนเจาะเป็นที่เรียบร้อยภายในเวลาไม่ถึง 60 วินาที
Pixel นั้นโดนเจาะระบบโดยทีมจากประเทศจีน Qihoo 360 โดยใช้ช่องโหว่ผ่านระบบข้อความยิงเข้าไปในเครื่อง แล้วทำการเปิด Google Play และ Google Chrome ก่อนจะแสดงข้อความ Pwned by 360 Alpha Team นั่นหมายความว่าโดนเจาะระบบไปแล้วเป็นที่เรียบร้อย
โดย Google Pixel ที่โดนเจาะนั้นคือเครื่องใหม่แกะกล่อง ซึ่งในวงการเรียกว่า Zero Day Vulnerability หรือการเจาะเครื่องที่ผลิตออกมาเพื่อจำหน่าย และยังไม่ได้มีการอัพเดทใดๆ นั่นเอง
จากการแฮค Google Pixel ได้ในครั้งนี้ทีม Qihoo 360 ก็คว้ารางวัลไปได้ถึง 120,000 เหรียญ หรือ 4 ล้านกว่าบาท ส่วนช่องโหว่นั้นก็ถูกส่งให้ Google ทำการ patch หรือปิดกั้นเป็นที่เรียบร้อย
ผลสรุปของงานนี้ทีม Qihoo 360 นั้นสามารถคว้ารางวัลไปได้ถึง 520,000 เหรียญ หรือ 18 ล้านบาทเลยทีเดียว หลังจากทำการแฮค Windows 10 ผ่าน Microsoft Edge โดยใช้ช่องโหว่ของ Adobe Flash
source : thenextweb
เอ่อ ช่วยแก้นิยามของคำว่า Zero Day Vulnerability ด้วย
จริงๆ แล้วมันหมายถึงช่องโหว่ที่ยังไม่ได้มีการค้นพบ คือช่องโหว่ที่เขาใช้เจาะระบบของ Pixel ครั้งนี้ ยังไม่เคยมีการค้นพบอย่างเป็นทางการมาก่อน ถึงเรียกว่า Zero Day Vulnerability นะครับ
ประมาณว่าพอช่องโหว่นี้ถูกค้นพบครั้งแรก ก็จะเรียกว่าเป็น Day 1 ที่นี้ก็จะต้องมาดูกันว่าเจ้าของผลิตภัณท์จะสามารถออก Patch มาอุดช่องโหว่นี้ได้ภายในกี่วัน ยิ่งช้าก็ยิ่งเสี่ยงจะถูกโจมตีมากขึ้นเรื่อยๆ
หลังๆ มานี่ทาง Google ให้ความสำคัญมาก ถึงได้ตั้งรางวัลให้กับคนที่สามารถหาช่องโหว่แบบนี้ในผลิตภัณท์ของเขาได้ จะได้อุดช่องโหว่ได้ก่อนที่พวก Hacker สายมืดจะเอาไปใช้เจาะระบบไงครับ
ที่เค้าเขียนก็ไม่ผิดนะครับ อ่านแล้วตีความก็ความหมายเหมือนกัน ก็คือเจาะเครื่องที่ยังไม่เคยมี update เพราะผู้ผลิตก็ไม่รู้ว่าตัวเองมีช่องโหว่อะไร
โม้ไว้เยอะ อิอิ http://droidsans.com/android-is-now-as-secure-as-ios
เว็บที่มา iPhone กับ Safari บน Mac กับ iOS ก็โดนเจาะ ระบบดังมันล่อเป้าอยู่แล้ว คิดว่าใช้ผลไม้ที่ดังรองลงมา จะไม่โดนแฮกเลย?
กร๊ากๆๆๆๆ
zero-day vulnerability คือช่องโหว่ที่ยังไม่เป็นที่เปิดเผยต่อสาธารณะครับ หรือก่อนที่ใครจะออกแพตช์มาได้ทัน ไม่ใช่การโจมตีช่องโหว่ที่รู้กันมานานแล้ว หรือมีแพตช์มาตั้งนานแล้วครับ
เพราะถ้าเค้าโจมตีช่องโหว่ที่เปิดเผยแล้ว กูเกิลคงไม่จ่ายเงินรางวัลให้หรอกครับ ดังประโยคที่เขียนในข่าว "ส่วนช่องโหว่นั้นก็ถูกส่งให้ Google ทำการ patch หรือปิดกั้นเป็นที่เรียบร้อย"
zero-day นั้น นับกันที่จำนวนวันของการมีอยู่ของแพตช์ที่สามารถปิดช่องโจมตีครับ
จะว่า เจาะ Pixel ก็ไม่ถูก น่าจะเป็นเจาะ Android 7 ที่อยู่ในเครื่อง Pixel มากกว่า เพราะช่องโหว่นี้ Android 7 บนเครื่องยี่ห้อไหนก็น่าจะเจาะได้เหมือนกัน
เจาะของทาง android chrome นะ
ดังนั้น android ทุกเครื่องที่ใช้งาน chrome โดนหมด
อยากให้ลองไปเจาะ iOS บ้าง จะได้รู้ว่าที่ทางกูเกิ้ลเคยให้ข่าวว่าปลอดภัยไม่ต่างจาก iOS จะเป็นจริงไหม
เนื้อความข้างบน ต้องการพิสูจน์คำพูดที่ทางกูเกิ้ลแจ้งมาก่อนหน้านี้นะครับ ไม่ได้มีเจตนาจะโจมตีใครหรืออะไร หากโผล่มาข้างๆ คูๆ ผมไม่สนใจนะ แบบข้างบน เป็นตัวอย่าง ไม่เกี่ยวกับระบบโดนไม่โดนแฮก
ลองดู droidsans weekly 22
ครับ iOS ก็โดนซะ 3 แฮคs หนักๆ ทั้งนั้น