ซื้อกลับบ้านที่สำคัญ
- วิเคราะห์เรื่องอื้อฉาวของการสอดแนมที่ Citizen Lab เปิดเผย นักวิจัยด้านความปลอดภัยของ Google ได้ค้นพบกลไกการโจมตีแบบใหม่ที่เรียกว่า Zero-Click Exploit
- เครื่องมือรักษาความปลอดภัยแบบดั้งเดิม เช่น แอนติไวรัสไม่สามารถป้องกันการคลิกเป็นศูนย์ไม่ได้
- Apple หยุดให้บริการแล้ว แต่นักวิจัยเกรงว่าจะมีช่องโหว่ Zero-click เพิ่มขึ้นอีกในอนาคต
การปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยถือเป็นแนวทางปฏิบัติที่รอบคอบในการรักษาความปลอดภัยให้กับอุปกรณ์ เช่น แล็ปท็อปและสมาร์ทโฟน หรือจนกว่านักวิจัยจะค้นพบเคล็ดลับใหม่ที่แทบจะตรวจไม่พบ
ขณะที่พวกเขาตรวจแก้บั๊กของ Apple ที่เพิ่งแพทช์ซึ่งเคยติดตั้งสปายแวร์ Pegasus บนเป้าหมายเฉพาะ นักวิจัยด้านความปลอดภัยจาก Project Zero ของ Google ได้ค้นพบกลไกการโจมตีที่เป็นนวัตกรรมใหม่ที่พวกเขาขนานนามว่า "การหาประโยชน์จากการคลิกเป็นศูนย์" ที่ไม่มีแอนตี้ไวรัสมือถือทำลายล้างได้
"สั้นๆ ที่ไม่ได้ใช้อุปกรณ์ ไม่มีวิธีใดที่จะป้องกันการเอารัดเอาเปรียบโดย 'การหาประโยชน์จากการคลิกเป็นศูนย์' มันเป็นอาวุธที่ไม่มีการป้องกัน" Ian Beer & Samuel Groß วิศวกรของ Google Project Zero อ้างสิทธิ์ในบล็อกโพสต์
สัตว์ประหลาดของแฟรงเกนสไตน์
สปายแวร์ Pegasus เป็นลูกของ NSO Group ซึ่งเป็นบริษัทเทคโนโลยีของอิสราเอลที่ตอนนี้ถูกเพิ่มเข้าใน "Entity List" ของสหรัฐอเมริกา ซึ่งบล็อกลิสต์จากตลาดสหรัฐฯ เป็นหลัก
ยังไม่ชัดเจนว่าคำอธิบายที่สมเหตุสมผลเกี่ยวกับความเป็นส่วนตัวบนโทรศัพท์มือถือคืออะไร ซึ่งเรามักจะโทรหากันในที่สาธารณะอย่างเป็นส่วนตัว แต่แน่นอนว่าเราไม่ได้คาดหวังให้ใครฟังทางโทรศัพท์ เพกาซัสช่วยให้ผู้คนทำ” Saryu Nayyar ซีอีโอของ Gurucul บริษัทรักษาความปลอดภัยทางไซเบอร์อธิบายในอีเมลถึง Lifewire
ในฐานะผู้ใช้ปลายทาง เราควรระมัดระวังในการเปิดข้อความจากแหล่งที่ไม่รู้จักหรือไม่น่าเชื่อถือ ไม่ว่าหัวเรื่องหรือข้อความจะน่าดึงดูดเพียงใด…
สปายแวร์ Pegasus กลายเป็นที่สนใจในเดือนกรกฎาคม 2021 เมื่อแอมเนสตี้ อินเตอร์เนชั่นแนลเปิดเผยว่ามันถูกใช้เพื่อสอดแนมนักข่าวและนักเคลื่อนไหวด้านสิทธิมนุษยชนทั่วโลก
ตามด้วยการเปิดเผยจากนักวิจัยที่ Citizen Lab ในเดือนสิงหาคม 2021 หลังจากที่พวกเขาพบหลักฐานการเฝ้าระวังใน iPhone 12 Pro ของนักเคลื่อนไหวชาวบาห์เรน 9 คนผ่านช่องโหว่ที่หลบเลี่ยงการรักษาความปลอดภัยล่าสุดใน iOS 14 ที่เรียกรวมกันว่า BlastDoor.
อันที่จริง Apple ได้ยื่นฟ้อง NSO Group โดยถือว่าบริษัทรับผิดชอบในการหลบเลี่ยงกลไกความปลอดภัยของ iPhone เพื่อสอดส่องผู้ใช้ Apple ผ่านสปายแวร์ Pegasus
นักแสดงที่ได้รับการสนับสนุนจากรัฐเช่น NSO Group ใช้เงินหลายล้านดอลลาร์ไปกับเทคโนโลยีการเฝ้าระวังที่ซับซ้อนโดยไม่ต้องรับผิดชอบอย่างมีประสิทธิภาพนั่นจำเป็นต้องเปลี่ยน” Craig Federighi รองประธานอาวุโสฝ่ายวิศวกรรมซอฟต์แวร์ของ Apple กล่าวในการแถลงข่าวเกี่ยวกับคดีความ
ในโพสต์สองตอนของ Google Project Zero นั้น Beer และ Groß อธิบายว่า NSO Group นำสปายแวร์ Pegasus มาไว้ที่ iPhone ของเป้าหมายได้อย่างไรโดยใช้กลไกการโจมตีแบบ Zero-click ซึ่งพวกเขาอธิบายว่าทั้งน่าเหลือเชื่อและน่าสะพรึงกลัว
การหาประโยชน์จากการคลิกเป็นศูนย์เป็นสิ่งที่ดูเหมือน - เหยื่อไม่จำเป็นต้องคลิกหรือแตะอะไรเลยเพื่อประนีประนอม แทนที่จะดูอีเมลหรือข้อความที่มีมัลแวร์แนบมาทำให้สามารถติดตั้งบนอุปกรณ์ได้
น่าประทับใจและอันตราย
ตามที่นักวิจัยกล่าว การโจมตีเริ่มต้นผ่านข้อความชั่วร้ายบนแอพ iMessage เพื่อช่วยเราแยกแยะวิธีการโจมตีที่ค่อนข้างซับซ้อนซึ่งออกแบบโดยแฮกเกอร์ Lifewire ขอความช่วยเหลือจากนักวิจัยด้านความปลอดภัยอิสระ Devanand Premkumar
Premkumar อธิบายว่า iMessage มีกลไกในตัวหลายอย่างในการจัดการไฟล์-g.webp
"ในฐานะผู้ใช้ปลายทาง เราควรระมัดระวังในการเปิดข้อความจากแหล่งที่ไม่รู้จักหรือไม่น่าเชื่อถือ ไม่ว่าหัวเรื่องหรือข้อความจะน่าดึงดูดเพียงใด เนื่องจากถูกใช้เป็นจุดเริ่มต้นหลักในโทรศัพท์มือถือ " Premkumar แนะนำ Lifewire ทางอีเมล
Premkumar กล่าวเสริมว่ากลไกการโจมตีปัจจุบันเป็นที่รู้กันว่าใช้งานได้บน iPhone เท่านั้นในขณะที่เขาทำตามขั้นตอนที่ Apple ดำเนินการเพื่อแก้ไขช่องโหว่ในปัจจุบัน แต่ในขณะที่การโจมตีปัจจุบันถูกลดทอนลง กลไกการโจมตีได้เปิดกล่องของแพนโดร่า
"การหาประโยชน์จาก Zero-click จะไม่ตายในเร็วๆ นี้จะมีการทดสอบและปรับใช้ช่องโหว่ Zero-click เหล่านี้มากขึ้นเรื่อยๆ กับเป้าหมายที่มีรายละเอียดสูงสำหรับข้อมูลที่ละเอียดอ่อนและมีค่าซึ่งสามารถดึงออกมาจากโทรศัพท์มือถือของผู้ใช้ที่ถูกโจมตีได้ "Premkumar กล่าว
ในขณะเดียวกัน นอกเหนือจากการฟ้องร้อง NSO แล้ว Apple ยังได้ตัดสินใจที่จะให้ความช่วยเหลือด้านเทคนิค ข้อมูลภัยคุกคาม และความช่วยเหลือด้านวิศวกรรมแก่นักวิจัยของ Citizen Lab อย่างมืออาชีพ และได้สัญญาว่าจะให้ความช่วยเหลือแบบเดียวกันแก่องค์กรอื่นๆ ที่ทำงานสำคัญๆ ในช่องนี้
นอกจากนี้ บริษัทยังได้บริจาคเงิน 10 ล้านดอลลาร์ รวมทั้งค่าเสียหายทั้งหมดที่ได้รับจากคดีความเพื่อสนับสนุนองค์กรที่เกี่ยวข้องในการสนับสนุนและวิจัยการละเมิดการเฝ้าระวังทางไซเบอร์