20 เมษายน ทีมนักวิจัยด้านความปลอดภัยของ ZecOps บริษัทเกิดใหม่ด้านการรักษาความปลอดภัยในโลกไซเบอร์โพสต์ในบล็อกของบริษัทโดยเปิดเผยว่าได้ตรวจพบ Zero Day หรือช่องโหว่ที่เกิดขึ้นโดยไม่ได้ตั้งใจซึ่งเปิดโอกาสแฮกเกอร์โจมตี iPhone ได้ด้วยการส่งอีเมลอันตรายเข้ามา จากนั้นเมื่อแอปเริ่มโหลดอีเมลก็จะเรียกใช้ช่องโหว่โดยที่ผู้ใช้ไม่จำเป็นต้องเปิดอ่านอีเมล ดังนั้นผู้ใช้จึงไม่รู้ตัวเลยว่าโดนโจมตีเข้าแล้ว
ช่องโหว่จะอนุญาตให้สามารถรันโค้ดที่ฝังอยู่ในอีเมลได้จากระยะไกลและแฮกเกอร์สามารถโจมตีอุปกรณ์จากระยะไกลด้วยการส่งอีเมลที่ใช้หน่วยความจำในจำนวนมาก และช่องโหว่เกิดขึ้นโดยไม่จำเป็นต้องใช้อีเมลขนาดใหญ่ เพราะอีเมลขนาดปกติก็สามารถทำให้การใช้ทรัพยากรของ RAM ไม่เพียงพอ เช่น RTF (Rich Text Format) ข้อมูลที่เป็นไฟล์ข้อความอย่างเดียว, ข้อมูลที่มีหลายส่วน หรือวิธีอื่น ๆ ซึ่งช่องโหว่ทั้งสองถูกเรียกใช้งานภายในอุปกรณ์ได้โดยที่ไม่ต้องมีใครมาช่วยให้มันทำงาน สรุปง่าย ๆ ว่า เมื่อแอป Mail โหลดอีเมลโดยกินหน่วยความจำในจำนวนมากจนทำให้ฟังก์ชันความปลอดภัยมีช่องโหว่และเปิดโอกาสให้แฮกเกอร์เข้ามาโจมตีได้
ช่องโหว่ถูกเรียกใช้ก่อนที่อีเมลทั้งหมดจะถูกดาวน์โหลด ซึ่งเนื้อหาของอีเมลจะไม่มีเก็บอยู่ในอุปกรณ์ และมีความเป็นไปได้ว่าแฮกเกอร์สามารถลบอีเมลที่หลงเหลืออยู่เพื่อทำลายหลักฐานหลังจากที่โจมตีได้สำเร็จ ดังนั้นเป็นเรื่องยากที่ผู้ใช้จะตรวจพบ (เราเรียกการโจมตีโดยไม่มีใครช่วยคลิกจุดชนวนระเบิดว่า Zero-click ซึ่งแตกต่างจากการโจมตีทั่วไปที่ต้องคลิกเปิดอ่านอีเมลก่อน)
ช่องโหว่ดังกล่าวส่วนใหญ่จะส่งผลกระทบต่อผู้ที่ใช้แอป Mail บน iPhone ที่ใช้ iOS 13 และส่งผลกระทบตั้งแต่ iOS 6 ที่เปิดตัวใน iPhone 5 เมื่อเดือนกันยายน 2012 และพบการเรียกใช้ช่องโหว่นี้ครั้งแรก (ที่ ZecOps ตรวจจับได้บนอุปกรณ์ที่ใช้ iOS 11.2.2 ตั้งแต่เดือนมกราคม 2018
ZecOps ได้เปิดเผยถึงเป้าหมายในการโจมตี ได้แก่ บุคคลจาก 500 องค์กรที่มีรายได้สูงสุดในอเมริกาเหนือ ผู้บริหารบริษัทโทรคมนาคมญี่ปุ่น บุคคลสำคัญของเยอรมนี บริษัทเทคโนโลยีรักษาความปลอดภัยระบบสารสนเทศในซาอุดิอาระเบียและอิสราเอล นักข่าวในยุโรป และผู้บริหารระดับสูงจากองค์กรสวิส
ZecOps ตรวจอย่างมั่นใจแล้วว่าการใช้ช่องโหว่ไม่ได้เกิดจากนักวิจัยความปลอดภัย การโจมตีเหล่านี้มีความเกี่ยวพันกับผู้โจมตีอย่างน้อยหนึ่งชาติหรือรัฐชาติ โดยการซื้อหาประโยชน์จากนักวิจัยด้านความปลอดภัยบุคคลที่สาม
iOS 13 ที่เปิดตัวเมื่อเดือนกันยายนที่ผ่านมาและรุ่นอัปเดตจนถึง iOS 13.4.1 ได้รับการทดสอบทั้งหมดแล้วว่ามีความเสี่ยง ซึ่ง 15 เมษายนที่ผ่านมา Apple ได้ออก Patch แก้ไขช่องโหว่อย่างไม่เป็นทางการใน iOS 13.4.5 รุ่นเบต้า และการอัปเดตรุ่นสมบูรณ์จะออกมาในไม่ช้า
ที่มา : blog.zecops.com
พิสูจน์อักษร : สุชยา เกษจำรัส
