ระวังของปลอม แอป Google Translate ซ่อนมัลแวร์ขุดเหมืองคริปโต

Loading

  คิดว่าหลายคนน่าจะเคยใช้ Google Translate อยู่แล้วเนอะ ซึ่งใน PC เนี่ยมันจะไม่มีแอปที่ไว้โหลดใช้งานในเครื่องได้เหมือนกับ iOS และ Android ครับ หากใครโหลดมาใช้งาน โปรดจงรู้ไว้ว่าแอปนั้นไม่ได้มาจาก Google นะ   ตอนนี้มีข่าวว่า มีเว็บไซต์บางแห่งให้เราสามารถโหลดแอป Google Translate มาติดตั้งในเครื่องได้ฟรี แต่นั่นเป็นส่วนหนึ่งของกลโกงที่ออกแบบมาเพื่อที่จะส่งมัลแวร์มาติดตั้งในเครื่องเรา ทั้งหมดใช้ขั้นตอนมากมายในการซ่อนตัวเองจากโปรโตคอลความปลอดภัยหลายตัวครับ   เรื่องนี้ถูกค้นพบโดยบริษัทด้านความปลอดภัย Checkpoint Research (CRP) ซึ่งได้เผยแพร่รายงานเกี่ยวกับการค้นพบแคมเปญมัลแวร์ขุดเหมือง Crypto ที่ซ่อนอยู่หลังแอปที่ดูถูกไม่เป็นพิษเป็นภัยอย่าง Google Translate โดยโปรแกรมจะดาวน์โหลดมัลแวร์เพิ่มเติมในขณะผู้ใช้ติดตั้งเสร็จครับ   นักวิจัยตรวจพบมัลแวร์จากแฮกเกอร์ชื่อว่า Nitrokod ซึ่งนักพัฒนาชาวตุรกี ที่เขาได้นำโปรแกรมอันตรายเหล่านี้มาปล่อยนบนเว็บไซต์ดาวน์โหลดซอฟต์แวร์ยอดนิยม เช่น Softpedia และ Uptodown ซึ่งมีการทำเครื่องหมายว่าปลอดภัยเสียด้วย …   โปรแกรมที่แอบซ่อนมัลแวร์ไว้มีมากมายรวมถึง Google Translate เวอร์ชันเดสก์ท็อป, Yandex Translate, Microsoft Translator,…

Meta จ่ายปิดปาก 37.5 ล้าน คดีเฟซบุ๊ก ลักลอบติดตามตำแหน่งบนสมาร์ทโฟนของทุกคน

Loading

  Meta โดนคดีเรื่องเก็บข้อมูลส่วนตัวผู้ใช้เฟซบุ๊กโดยไม่ได้รับอนุญาตอีกครั้ง และครั้งนี้เป็นเรื่องของการติดตามที่ฝังอยู่ในแอปพลิเคชันเฟซบุ๊ก ซึ่งคดีนี้ทางบริษัทได้ยอมจ่ายเงินกว่า 37.5 ล้านดอลลาร์สหรัฐฯ   สมาร์ทโฟนและความเป็นส่วนตัวของผู้ใช้ ได้กลายเป็นประเด็นอีกครั้งเนื่องจาก Meta ได้ถูกฟ้องในคดีที่ติดตามผู้ใช้โดยแพลตฟอร์มเฟซบุ๊ก ซึ่งผู้ใช้สังเกตได้ว่าเมื่อล็อกอินออกจากเฟซบุ๊ก แต่การติดตามตำแหน่งยังคงมีอยู่ ซึ่งนั่นแสดงให้เห็นว่าเฟซบุ๊กกำลังเก็บข้อมูลและตำแหน่งของผู้ใช้อยู่ตลอดเวลา ซึ่งเป็นการล่วงละเมิดข้อมูลส่วนตัวที่ในสหรัฐอเมริกายอมรับไม่ได้   มีหลายแนวคิดที่เข้ามาถกเถียงกันว่า เฟซบุ๊กนั้นเก็บข้อมูลตำแหน่งจาก IP Address ซึ่งจะเป็นตัวเลขที่รันอยู่บนอินเทอร์เน็ต และสามารถระบุตำแหน่งได้   ก่อนหน้านี้ในเดือนมิถุนายน 2018 Facebook และประธานเจ้าหน้าที่บริหาร Mark Zuckerberg บอกกับรัฐสภาคองเกรสแห่งสหรัฐอเมริกาว่า ใช้ข้อมูลตำแหน่ง “เพื่อช่วยให้ผู้โฆษณาเข้าถึงผู้คนในพื้นที่เฉพาะ” แต่ด้วยเหตุผลนี้ก็ยังถือว่าผิดกฎหมายในการล้วงข้อมูลส่วนตัวอยู่ดี   ตัวอย่างเช่น ผู้ใช้ที่รับประทานอาหารในร้านอาหารบางแห่งอาจได้รับโพสต์จากเพื่อนที่ทานอาหารที่นั่นด้วย หรือโฆษณาจากธุรกิจที่ต้องการให้บริการในบริเวณใกล้เคียง   เฟซบุ๊กสามารถรู้ที่อยู่เราได้จากอะไรบ้าง?   ตำแหน่ง (Location) ซึ่งเฟซบุ๊กมักจะบังคับเปิดเมื่อคุณต้องการจะแท็กสถานที่หรือทำการเช็กอิน ซึ่งจะจับตำแหน่งจาก GPS ของโทรศัพท์หรือแท็บเล็ตของคุณ รวมถึงตำแหน่ง Wi-Fi และเครือข่ายมือถือด้วย   ที่อยู่ IP (อินเทอร์เน็ต) ด้วยตัวเลขของอินเทอร์เน็ต…

ญี่ปุ่นเตรียมแก้กฎหมาย เลิกใช้ Floppy Disk ส่งข้อมูลให้หน่วยงานรัฐ

Loading

  ในการประชุม Digital Society Concept Conference ครั้งที่ 5 ของญี่ปุ่นเพื่อวางแผนการให้บริการด้านดิจิทัลของรัฐบาลในอนาคต   Karo Tono รัฐมนตรีว่าการกระทรวงดิจิทัลของญี่ปุ่นเปิดเผยว่า จะแก้กฎหมายเรื่องการส่งเอกสารให้หน่วยงานของรัฐบาล โดยจะเปลี่ยนจากการบังคับให้ส่งด้วยแผ่น Floppy Disk หรือซีดีรอม ไปเป็นวิธีที่ทันสมัยมากขึ้นโดยเร็วที่สุด   รัฐมนตรีฯ ได้ศึกษากฎหมายเกี่ยวกับการส่งข้อมูลให้หน่วยงานของรัฐและพบว่ามีข้อบังคับมากกว่า 1,900 ข้อ ที่เกี่ยวข้องซึ่งข้อบังคับจำนวนมากระบุให้ใช้แผ่นดิสก์หรือซีดีรอม ส่วนวิธีที่ทันสมัยกว่า เช่น การอัปโหลดลงอินเทอร์เน็ต ไม่ได้ระบุไว้ในข้อบังคับ ซึ่งถือว่าเป็นวิธีไม่ได้รับการอนุญาต   นาย Tono ยังวางแผนว่า รัฐบาลจะมีการพูดคุยกันถึงเรื่องความขาดแคลนทักษะด้านเทคโนโลยีในองค์กรรัฐบาล การพัฒนาโครงสร้างพื้นฐานด้านการสื่อสาร หรือแม้แต่การนำระบบอินเทอร์เน็ตแบบ Web3 มาใช้     ที่มา: The Register           ที่มา :         …

ไมโครซอฟท์พบช่องโหว่ใน WebView ของแอป TikTok เปิดทางแฮ็กเกอร์ยึดบัญชี

Loading

  ไมโครซอฟท์รายงานถึงช่องโหว่ใน API ที่ TikTok เพิ่มลงในเบราว์เซอร์ภายในแอปผ่านทาง WebView เปิดทางให้แฮ็กเกอร์ดึงเอา token สำหรับยืนยันตัวตนไปได้ โดยทีมงานของไมโครซอฟท์ยืนยันช่องโหว่ด้วยการสร้างลิงก์ที่ผู้ใช้ TikTok บนแอนดรอยด์คลิปแล้วจะถูกเปลี่ยนโปรไฟล์เป็น “!! SECURITY BREACH !!!”   ช่องโหว่ใน API ของ WebView อาจจะต้องเปิดจากลิงก์ในแอปเท่านั้ แต่เนื่องจากตัวแอป TikTok รองรับ deeplink ผ่านทาง URL ที่ขึ้นต้นด้วย https://m.tiktok[.]com/redirect อีกทางทำให้แฮ็กเกอร์สามารถสร้างลิงก์จากภายนอกแอปแต่ก็เปิดจากเบราว์เซอร์ในแอป TikTok อยู่ดี แม้ที่จริง TikTok จะป้องกันการทำเช่นนี้ไว้แต่ทีมงานของไมโครซอฟท์ก็พบวิธีการหลบฟิลเตอร์ได้   API ที่ TikTok ใส่เพิ่มเข้าไปใน WebView มีมากกว่า 70 รายการ บาง API เปิดให้เข้าถึงข้อมูลส่วนตัวของผู้ใช้ บางส่วนเปิดให้ยิง HTTP POST ไปยังเซิร์ฟเวอร์แล้วคืนค่าทุกอย่างกลับมา รวมถึง HTTP…

เจออีก ส่วนขยาย Chrome อันตราย แอบดูดข้อมูล ส่องประวัติท่องเว็บ

Loading

  นักวิจัยด้านความปลอดภัยของ McAfee ได้ตรวจพบ ส่วนขยาย Chrome อันตรายจำนวน 5 ตัว ที่มีการดาวน์โหลดใช้งานรวมกันมากถึง 1.4 ล้านครั้ง ส่วนขยายอันตรายเหล่านี้ จะมีการติดตามกิจกรรมการท่องเว็บของผู้ใช้งาน ซึ่งสามารถระบุได้ถึงขั้นละเอียดว่า ตำแหน่งของอุปกรณ์อยู่ที่ใด ประเทศอะไร เมืองอะไร รหัสไปรษณีย์อะไร ซึ่งสามารถเอาไปทำเป็นข้อมูลการตลาดหรือเอาไปขายได้ครับ และหากผู้ใช้งานมีการเข้าเว็บไซต์ E-Commerce ต่าง ๆ ส่วนขยายเหล่านี้จะมีการเปลี่ยนแปลงคุกกี้ของผู้ใช้งาน และทำเหมือนว่าตัวเองเป็นคนนำผู้ใช้อย่างเราเข้าไปสู่เว็บ E-Commerce นั้น ๆ (ทั้ง ๆ ที่เรากดเข้าไปเอง) เพื่อเคลมเงินกับเว็บ E-Commerce ครับ ส่วนขยายอันตรายที่พบคือ + Netflix Party – 800,000 downloads + Netflix Party 2 – 300,000 downloads + Full Page Screenshot Capture –…

แค่ฟังเสียงก็รู้! แฮ็กเกอร์สาธิตการถอดข้อความโดยอาศัยแค่การวิเคราะห์เสียงกดแป้นพิมพ์

Loading

สาธิตใช้ Keytap3 ถอดรหัสข้อความจากเสียงกดแป้นพิมพ์ Georgi Gerganov นักวิจัยความปลอดภัยได้โพสต์คลิปวิดีโอสาธิตการดักจับข้อความที่ถูกพิมพ์โดยอาศัยเพียงการดักฟังเสียงกดแป้นพิมพ์เท่านั้น Gerganov ได้พัฒนาซอฟต์แวร์ที่มีชื่อว่า Keytap3 ที่ทำการถอดรหัสข้อความแบบเรียลไทม์จากเสียงกดแป้นพิมพ์ที่มันจับเสียงได้ ตัวอย่างที่เขาสาธิตนั้นอาศัยเพียงไมโครโฟนของสมาร์ทโฟนธรรมดาก็ดีเพียงพอสำหรับการทำงานของ Keytap3 แล้ว จากชื่อของมัน Keytap3 นี้เป็นซอฟต์แวร์ที่พัฒนามาเป็นเวอร์ชั่นที่ 3 แล้ว ในเวอร์ชั่นก่อนนั้นการจับเสียงจะต้องวางไมโครโฟนไว้ตำแหน่งเดียวห้ามเคลื่อนย้าย และจะต้องมีการพิมพ์ข้อความมาตรฐาน (เหมือนเป็นการปรับศูนย์จูนระบบ) ลงบนแป้นพิมพ์ให้จบก่อน ซอฟต์แวร์จึงจะเริ่มทำการถอดรหัสข้อความหลังจากนั้นได้ แต่แน่นอนว่า Keytap3 ในตอนนี้ไม่ต้องมีเงื่อนไขเหล่านั้นอีกต่อไป Gerganov อธิบายแนวคิดการวิเคราะห์เสียงของ Keytap3 ว่ามันจำแนกเสียงการกดแป้นพิมพ์ตัวอักษรต่างๆ ที่มีเสียงคล้ายคลึงกันถูกจัดไว้เป็นกลุ่มเดียวกัน จากนั้นนำเอาข้อมูลเชิงสถิติว่าตัวอักษรใดถูกใช้งานบ่อยมากน้อยแค่ไหนในภาษานั้นๆ เข้ามาวิเคราะห์ประกอบด้วย และเพื่อยืนยันว่าการวิเคราะห์ถอดรหัสข้อความนั้นอาศัยใช้แค่ข้อมูลเสียงการพิมพ์เท่านั้น คลิปวิดีโอสาธิตของเขาจึงนำเอาแป้นพิมพ์เปล่าๆ ที่ไม่ได้เสียบสายใดๆ มาพิมพ์ข้อความโชว์ให้เห็นกันชัดๆ     อย่างไรก็ตามในตอนนี้ Keytap3 สามารถวิเคราะห์ได้เฉพาะเสียงกดของแป้นพิมพ์แบบเมคานิคอลเป็นหลัก เนื่องจากมีเสียงกดที่ดังและชัดเจนพอสำหรับการวิเคราะห์ ใครที่อยากลองเล่น Keytap3 ก็สามารถเข้าไปทดลองใช้งานได้ที่นี่ ที่มา – TechRadar     ที่มา : blognone   / …