อย่างที่รู้ๆ กันอยู่ว่า ผู้ใช้มือถือสมัยนี้ไม่ค่อยสนใจเรื่อง ความปลอดภัย
และมักจะกดยอมรับการกดยินยอมแบบไม่ได้อ่านอย่างละเอียดว่าตัวแอพนั้น
สามารถทำอะไรกับเราได้บ้าง
โดยช่วงนี้มีข่าวฮือฮาในวงการ Hacker ว่าสามารถทำการ Injaction Javascript
บนแอพ Feedly ใน Android ได้ และ นักวิจัยด้านความปลอดภัย Jeremy S เธอได้ออกมาพูดว่า
ช่องโหว่ Javascript นี้มีความเสี่ยงอย่างสูง
สำหรับผู้ใช้Feedly App android
ซึ่งอาจทำไห้เกิดความเสียหายมากกว่า 1 ล้านผู้ใช้ทั่วโลก
*ความหมายของ App feedly http://prachatai.com/what-is-rss
เอาหละ เดี๋ยวเรามาต่อที่บทความอีกอันนึงใน Blogspot <--คลิ๊กลิ๊งเลยครับ
นักวิจัยออกมาเผยว่า จิงๆแล้วไอช่องโหว่ Javascript เนี่ย แบบดั้งเดิมนั้นมันพัฒนามาจากช่องโหว่ที่มี
ชื่อว่า 'cross-site scripting' หรือ XSS นั่นเอง มันช่วยให้คนที่ Hack สามารถสั่ง Run โค๊ด Javasript ที่อยู่ใน client นั้นๆ ได้
App เหล่านี้ก็ล้มเหลวที่จะทำการแก้ไขเพราะไม่สามารถเปลี่ยนตัวโค๊ดดั้งเดิมของมันได้
นักวิจัยท่านนึงได้แสดงให้เห็นว่า ช่องโหว่นี้มันอันตรายแค่ไหน โดยผู้ใช้อาจจะตกเป็นเหยื่อได้ ซึ่งความเลวร้ายของมันก็ขึ้นอยู่กับคนที่ Hack เรานั่นเอง
 |
| ตัวอย่างการเทสช่องโหว่ |
โดยสิ่งที่ Hacker สามารถทำได้ก็เช่น การแก้ไขคุกกี้ การใส่สคริปหวังผลประโยชน์ หรือการกระทำที่หวังผลประโยชน์นั่นเอง
เอาหละหมดการอธิบายช่องโหว่และ เดี๋ยวเรามาต่ออีกสักนิดกับประวัติของมันกัน
ชายคนนึงได้ทำการพบช่องโหว่นี้ในวันที่ 10 เดือนมีนาคม และได้ทำการรายงานผล
ไปที่ผู้พัฒนาแอพ Feedly ซึ่งผู้พัฒนาก็ไมได้ทำการแก้ไขลงในคำอธิบายหน้าแอพ
วิธีป้องกันที่ดีที่สุดก็คือรอทางอัพเดตจาก App นั่นเอง
*สรุปความเข้าใจนะครับผม
สมมุติว่า มีเว็บชื่อว่า A และ Hacker ได้ทำการ Injaction ผ่าน Javascript ไว้
แล้วผมเนี่ยก็ได้ทำการเล่นแอพ Feedly บนมือถือตัวเอง แล้วเผอิญไปสนใจเว็บ A เข้า
ผมจึงทำการอ่านมัน แต่รู้หรือไม่ว่าเมื่อคุณเข้าไปแล้ว Javascript ที่ฝังไว้
อาจทำงานทันทีที่คุณเข้าไป สคริปเหล่านี้ได้ถูกเขียนในรูปแบบของ Android develop
ซึ่งเป็นสคริปที่สามารถรันเฉพาะบนมือถือเรานั่นเอง
บทความโดย : BlacXHaxker
อ้างอิง
