Nick Computer Services

News & Public Relation => Security Update => Topic started by: Nick on February 11, 2014, 06:52:02 PM

Title: ช่องโหว่บนระบบปฏิบัติการ iOS 7.0.x ปิดการใช้งาน Find My Phone
Post by: Nick on February 11, 2014, 06:52:02 PM

ระวังภัย ช่องโหว่บนระบบปฏิบัติการ iOS 7.0.x อนุญาตให้ผู้ไม่ประสงค์ดีปิดการใช้งานฟังก์ชัน Find My Phone

วันที่ประกาศ: 10 กุมภาพันธ์ 2557
ปรับปรุงล่าสุด: 10 กุมภาพันธ์ 2557


ประเภทภัยคุกคาม: Intrusion

ข้อมูลทั่วไป

เมื่อวันที่ 7 กุมภาพันธ์ 2557 พบการเผยแพร่ข้อมูลคลิปวิดีโอบนเว็บไซต์ Youtube.com [1] โดยผู้ใช้งานชื่อ Bradley Williams อ้างถึงการค้นพบช่องโหว่บนระบบปฏิบัติการ iOS ในการสั่งปิดการทำงานของ Find My Phone โดยไม่มีการถามรหัสผ่านบัญชี iCloud ซึงเป็นฟังก์ชั่นที่ใช้ในการค้นหาตำแหน่งที่อยู่ของอุปกรณ์ที่ใช้งาน รวมถึงการบริหารจัดการโทรศัพท์ด้วยการสั่งการจากระยะไกล เช่น การสั่งลบข้อมูล การตั้งค่าล๊อคเครื่อง

สำหรับระบบปฏิบัติการณ์ iOS เวอร์ชั่น 7 ขึ้นไป บริษัท Apple ได้มีการพัฒนาฟังก์ชั่น iCloud: Activation Lock [2] ซึ่งกำหนดให้ต้องทำการล๊อกอินผ่านบัญชี iCloud ก่อนที่จะมีการสั่งปิดการใช้งานฟังก์ชั่น Find My Phone ได้ แต่ช่องโหว่ดังกล่าวทำให้ผู้ไม่ประสงค์ดีสามารถปิดการทำงานของ Find My Phone บนอุปกรณ์ iOS โดยไม่มีการถามรหัสผ่านของบัญชี iCloud ของผู้ใช้งานก่อน

ผลกระทบ

ในกรณีที่อุปกรณ์ iOS ตกอยู่ในมือของผู้ไม่ประสงค์ดี ทำให้ผู้ไม่ประสงค์ดีสามารถปิดการทำงานของ Find My Phone ได้แม้ไม่รู้รหัสผ่าน iCloud ของผู้ใช้ เพียงแต่สามารถเข้าถึงหน้า Home ของโทรศัพท์ได้เท่านั้น ซึ่งอาจเกิดจากผู้ใช้งานไม่ได้ล๊อคหน้าจอด้วย Passcode หรือใช้ Passcode ที่ผู้ไม่ประสงค์ดีสามารถคาดเดาได้ ส่งผลให้ข้อมูลสำคัญของผู้ใช้งานรั่วไหล เพราะผู้ใช้งานไม่สามารถค้นหาตำแหน่ง หรือสั่งลบข้อมูลในโทรศัพท์เมื่อสูญหาย หรือถูกขโมยได้อีกต่อไป

ระบบที่ได้รับผลกระทบ

ระบบปฏิบัติการณ์ iOS เวอร์ชั่น 7.0.x และต่ำกว่า


ข้อแนะนำในการป้องกันและแก้ไข

ทางบริษัท Apple กำลังพัฒนา iOS เวอร์ชั่น 7.1 (ปัจจุบันเผยแพร่เป็นเวอร์ชั่นสำหรับนักพัฒนาอยู่) ซึ่งในเวอร์ชั่นนี้ได้มีการแก้ไขปัญหาช่องโหว่ดังกล่าวเรียบร้อยแล้ว และคาดว่าอาจมีการเผยแพร่ให้ใช้งานอย่างเป็นทางการ ร่วมกับฟังก์ชั่นอื่นๆที่พัฒนามาเพิ่มเติม โดยอาจมีกำหนดการในช่วงเดือนมีนาคม 2557 [3] แต่อย่างไรก็ตามผู้ใช้งานจำเป็นต้องพึงระวังเก็บโทรศัพท์หรืออุปกรณ์ต่างๆ ไว้ใกล้ตัวเพื่อป้องกันการถูกขโมย รวมถึงตั้งค่า Passcode สำหรับล๊อกเครื่องเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตอีกด้วย

อ้างอิง

http://www.youtube.com/watch?v=K7VelNyEMf8
http://support.apple.com/kb/PH13695
http://9to5mac.com/2014/02/07/apple-currently-plans-to-ship-ios-7-1-in-march/

ที่มา: https://www.thaicert.or.th/alerts/user/2014/al2014us006.html