NordPass ผู้ให้บริการโปรแกรมจัดการรหัสผ่าน เปิดเผยรายการรหัสผ่านยอดนิยมประจำปี 2024 พบว่าใน 200 อันดับแรก เกือบทั้งหมดเป็นรหัสผ่านที่คาดเดาง่าย เช่น ชุดตัวเลขหรือตัวอักษร ที่เรียงต่อกันหรือซ้ำกัน ซึ่งล้วนแต่เป็นรหัสผ่านที่มีความปลอดภัยต่ำ แฮกเกอร์สามารถถอดรหัสได้ในเวลาไม่ถึง 1 วินาทีเท่านั้น
กูเกิลเปิดตัวฟีเจอร์ Scam Detection บน Android ใช้พลังแห่งปัญญาประดิษฐ์วิเคราะห์การสนทนาทางโทรศัพท์ หากคู่สายมีพฤติกรรมเข้าข่ายเป็นมิจฉาชีพ ระบบจะส่งแจ้งเตือนผ่านการส่งเสียง การสั่น และป๊อปอัปบนหน้าจอให้ผู้ใช้งานทราบทันที เบื้องต้น Scam Detection เปิดทดสอบบนมือถือ Pixel ในกลุ่ม public beta เฉพาะภาษาอังกฤษก่อน ตั้งแต่ Pixel 6 เป็นต้นไป
นักวิจัยด้านความปลอดของกูเกิล 2 ทีม ตรวจพบช่องโหว่ CVE-2024-44068 บนชิป Exynos หลายรุ่น เป็นช่องโหว่ zero-day ระดับความอันตรายสูง ที่ทำให้แฮกเกอร์สามารถฝังโค้ดบนหน่วยความจำของอุปกรณ์เป้าหมายเพื่อยกระดับสิทธิ์ (permission) จนนำไปสู่การรีโมตควบคุมเครื่องได้ คล้ายกับกรณีช่องโหว่ CVE-2024-43047 บนชิป Qualcomm ก่อนหน้านี้
แม้ก่อนหน้านี้ทีมสร้างคัสตอมรอม GrapheneOS พึ่งขู่จะฟ้องร้องกูเกิลไปหมาด ๆ จากประเด็น API ด้านความปลอดภัยตัวใหม่ แต่กับกรณีที่เว็บไซต์ Cybernews เขียนบทความโจมตี Pixel 9 Pro XL ว่ามีการละเมิดความเป็นส่วนตัวผู้ใช้งานในสัปดาห์นี้ คราวนี้ GrapheneOS หันมาแสดงจุดยืนเข้าข้างกูเกิลเต็มที่ พร้อมตำหนิว่า Cybernews บิดเบือนและให้ไม่ถูกต้องเกือบทั้งบทความ
สื่อต่างประเทศพบว่า Internet Archive ถูกเจาะระบบเมื่อวันพุธ (9 ต.ค.) จากข้อความของแฮกเกอร์ที่ปรากฏผ่านป็อปอัปเมื่อเข้าใช้งานเว็บไซต์ ภายหลังทางคุณบรูว์สเตอร์ คาห์ล ที่เป็นผู้ก่อตั้ง ได้ยืนยันในเรื่องนี้ในช่วงเช้าของวันถัดมา (10 ต.ค.) โดยระบุว่าเป็นการโจมตีแบบ DDoS กระทบข้อมูลส่วนตัวผู้ใช้งาน 31 ล้านบัญชี ประกอบด้วย ชื่อบัญชี ที่อยู่อีเมล และรหัสผ่านที่ถูกเข้ารหัสไว้
อาจเป็นเรื่องธรรมดาสำหรับมือถือยุคใหม่ ที่จะมีการส่งข้อมูลผู้ใช้งานกลับไปยังเซิร์ฟเวอร์ของผู้ให้บริการเป็นระยะ เพื่อให้ฟีเจอร์บางอย่างสามารถทำงานได้เที่ยงตรงและเป็นเรียลไทม์ โดยเฉพาะเมื่อ AI เข้ามามีบทบาทมากขึ้น แต่การส่งข้อมูลทุก 15 นาทีที่เกิดกับ Pixel 9 Pro XL ตามที่ Cybernews ตรวจพบนั้น ทีมวิจัยมองว่า ‘เป็นความถี่ที่เยอะเกินไป’ นำไปสู่การตั้งคำถามถึงความปลอดภัยและความเป็นส่วนตัวของผู้ใช้งาน
Qualcomm พบช่อวโหว่ zero-day บนชิปในเครือกว่า 60 รุ่น ในจำนวนนี้มีทั้งโมเดม โมดูล และชิปเซตในตระกูล Snapdragon บนมือถือ ยานยนต์ และอุปกรณ์เคลื่อนที่อื่น ๆ ในขณะที่ Project Zero ทีมวิจัยด้านความปลอดภัยทางไซเบอร์ของกูเกิล และอีกทีมจาก Amnesty International Security Lab ยืนยันตรงกันว่า “ช่องโหว่นี้ถูกนำไปใช้โจมตีแล้ว” แต่เบื้องต้นยังไม่ทราบทั้งผู้ก่อเหตุ เป้าหมาย แรงจูงใจ และขอบเขตความเสียหายที่เกิดขึ้น
ซัมซุงเปิดตัวมือถือตระกูล Galaxy Quantum series มาต่อเนื่องกันเป็นปีที่ 5 แล้ว รุ่นล่าสุดคือ Galaxy Quantum5 ที่ออกในเดือนสิงหาคม มือถือในกลุ่มนี้ มีฟังก์ชันด้านความปลอดภัยที่โดดเด่น โดยการใส่ชิป QRNG จากค่าย ID Quantique (IDQ) เพิ่มเข้าไป เป็นชิปสำหรับสร้างตัวเลขสุ่มเชิงควอนตัมเพื่อใช้ในการเข้ารหัสข้อมูล แต่คงมีน้อยคนนักที่จะรู้จัก หรือเคยได้ยินชื่อ เพราะที่ผ่านมาซัมซุงไม่เคยทำตลาดนอกประเทศบ้านเกิด
ควันหลงเกี่ยวกับ Play Integrity API บน Google Play ที่เป็นประเด็นในแวดวงนักพัฒนาและผู้ใช้งานคัสตอมรอมบน Android ไปเมื่อสัปดาห์ก่อน ล่าสุดเรื่องราวอาจลุกลามบานปลาย เมื่อทีมสร้างคัสตอมรอม GrapheneOS ออกมาแสดงจุดยืนต่อต้านกูเกิล โดยระบุว่า GrapheneOS ได้มีการปรึกษาหารือกับหน่วยงานกำกับดูแลแล้ว และอาจนำไปสู่การฟ้องร้องกูเกิล รวมถึงพาร์ตเนอร์บางราย เพราะ GrapheneOS ไม่เชื่อ (ไม่คาดหวัง) ว่ากูเกิลจะยอมเปลี่ยนแนวทาง
สัปดาห์นี้มีประเด็นน่าสนใจเกิดขึ้นในแวดวงคัสตอมรอมบน Android หลังแอปบางตัวเริ่มนำ Play Integrity API มาใช้ตรวจสอบว่าแอปนั้น ๆ กำลังทำงานบนอุปกรณ์ที่มีความน่าเชื่อถือหรือไม่ ด้วยเหตุผลด้านความปลอดภัย ผลคือ แอปกลุ่มนี้จะไม่รองรับการทำงานบนอุปกรณ์ที่รันบนคัสตอมรอมทุกประเภท ซึ่ง Shawn Willden หัวหน้าฝ่ายเทคนิคของ Android ก็แสดงความเห็นว่า ‘จริง ๆ แล้ว เรา (Google) ไม่ได้อยากทำแบบนี้ แต่ตอนนี้ยังไม่มีทางเลือกอื่น’
