ระวังก่อนคลิกลิงก์! ช่องโหว่โทรศัพท์ซัมซุงของคุณอาจถูกลบข้อมูลทั้งหมดได้ เพียงแค่เข้าชมเว็บไซต์
26 กันยายน 2012
เป็นข่าวที่น่าตกใจสำหรับผู้ที่ใช้โทรศัพท์เคลื่อนที่ของซัมซุงที่มาพร้อมกับ TouchWiz UI เมื่อมีผู้ค้นพบว่ามีช่องโหว่ที่จะทำให้เครื่องโทรศัพท์นั้นถูกล้างข้อมูลจนหมด เมื่อเข้าไปยังหน้าเว็บไซต์บางหน้าที่ถูกจัดเตรียมไว้
ช่องโหว่นี้ถูกค้นพบโดยคุณ Ravi Borgaonkar และได้ถูกนำมาสาธิตในงานสัมนาด้านความปลอดภัยในประเทศอาร์เจนตินา โดยมันอยู่ในตัวแป้นโทรศัพท์ของ TouchWiz UI ที่จะทำการเปิดลิงก์ใดๆ ก็ตามที่ขึ้นต้นด้วย tel:
โดยอัตโนมัติ เมื่อใช้ช่องโหว่นี้ร่วมกับรหัส USSDเฉพาะของโทรศัพท์ Samsung ที่เอาไว้ล้างข้อมูล ก็จะสามารถล้างข้อมูลของเครื่องโทรศัพท์เครืองไหนก็ได้ เพียงแค่โทรศัพท์เครื่องนั้นเข้าไปยัง URL ที่ถูกจัดเตรียมไว้
ที่แล้วใหญ่คือ ถ้ามีผู้เอา URL ดังกล่าวนี้ไปใส่ในแท็ก <iframe>
แล้วซ่อนไว้บนหน้าเว็บเพจ คุณก็จะสามารถโดนโจมตีโดยวิธีนี้ได้เพียงแค่เข้าไปยังหน้าเว็บไซต์ที่ซ่อนแท็กนี้เอาไว้ครับ
สำหรับโทรศัพท์ที่คาดว่าได้รับผลกระทบ รวมไปถึงโทรศัพท์รุ่นดังๆ อย่าง Samsung Galaxy S II และ Samsung Galaxy S III ครับ โดยสามารถทดสอบได้โดยการเข้าไปที่ URL นี้ ถ้าโทรศัพท์ของคุณขึ้นโชว์รหัส IMEI นั่นแสดงว่าคุณมีโอกาสถูกโจมตีได้โดยช่องโหว่นี้ครับ
สำหรับวีดีโอการสาธิต สามารถเข้าไปดูได้จากทีมา (ตั้งแต่นาทีที่ 6:30 เป็นต้นไปครับ)
ณ ขณะนี้ทาง TechCrunch ได้บอกว่าทางซัมซุงยังไม่ได้มีการแถลงการณ์ในเรื่องนี้แต่อย่างใดครับ เพราะฉะนั้นสิ่งที่พอจะทำได้ก็คงเป็นการเปลี่ยนโปรแกรมแป้นโทรศัพท์เป็นตัวอื่นไปก่อน เพื่อไม่ให้มันทำการโทรออกโดยอัตโนมัติเมื่อคลิ๊กลิงก์ที่มีรหัส USSD ครับ
ที่มา: TechCrunch
ข่าวจาก Blognone โดย Sikachu
บทความที่เกี่ยวข้อง