ในช่วงสัปดาห์ที่ผ่านมา ชุมนุมผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ในหลากหลายอาชีพได้พุ่งเป้าไปยังปัญหาด้านความปลอดภัยในแอปพลิเคชันสำหรับการประชุมออนไลน์ Zoom ซึ่งกำลังได้รับความนิยมอย่างสูงจากสถานการณ์การแพร่ระบาดของ COVIC-19 ผลลัพธ์จากการวิเคราะห์การทำงานและพฤติกรรมของแอปพลิเคชันในหลากหลายแพลตฟอร์มเปิดเผยถึงความเสี่ยงหลายประการที่อาจเกิดขึ้นกับการใช้งานแอปพลิเคชันภายใต้เงื่อนไขต่างๆ อย่างไรก็ตาม Security ที่ดีไม่ควรเป็น Security ที่เกิดจากความหวาดระแวงอย่างไม่สมเหตุสมผล ดังนั้นในบทความนี้ ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จากบริษัท ไอ-ซีเคียว จำกัด จะมาสรุปข่าวที่เกิดขึ้น และความคิดเห็นของเราต่อความเสี่ยงเพื่อให้การจัดการความเสี่ยงนั้นเกิดขึ้นอย่างเหมาะสมครับ หมายเหตุ: เราจะดำเนินการอัปเดตบทความนี้ให้มีความทันสมัยที่สุดเท่าที่จะทำได้เมื่อให้ผู้อ่านได้รับข้อมูลที่เป็นปัจจุบันมากที่สุด สารบัญ (อัปเดตล่าสุด 9 เมษายน 2020)
สถานะการแก้ไขดำเนินการแก้ไขเรียบร้อยวันที่ 7 เมษายน 2020 โดย Zoom เวอร์ชั่น 4.6.10 (20033.0407) รายละเอียดความเสี่ยงนี้เกิดจากผู้ไม่หวังดีได้รับ Meeting ID การประชุม หรือค้นหาจากเเหล่งสาธารณะหรือรูปการประชุมที่มองเห็น Meeting ID ผู้ไม่หวังดีสามารถทดลองเข้าร่วมการประชุมได้โดยใช้ Meeting ID โดยไม่ต้องรับเชิญ ถ้าผู้สร้างห้องประชุมไม่ทำการใส่รหัสห้องประชุม และก่อกวนด้วยวิธีการต่างๆ เช่นส่งเสียงรบกวนหรือเปิดกล้องเพื่อแสดงร่างกายเปลือย, ส่งภาพอนาจาร, ภาพที่น่าเกลียดหรือคำพูดที่ไม่สุภาพเพื่อทำลายการประชุม Reference:
สถานะการแก้ไขดำเนินการแก้ไขเรียบร้อยวันที่ 2 เมษายน 2020 โดย Zoom เวอร์ชั่น 4.6.9 (19273.0402) รายละเอียดJonathan Leitschuh นักวิจัยความมั่นคงปลอดภัยไซเบอร์ ได้รายงานถึงช่องโหว่ของ Zoom ที่เปิดทางแฮกเกอร์ให้แอบมองภาพผ่านกล้องเว็บแคมของผู้ที่ "เคยติดตั้งแอป" Zoom บนเครื่อง Mac โดยช่องโหว่ใช้เทคนิคสำหรับอำนวยความสะดวกให้ผู้ใช้ ให้สามารถเข้าร่วมการประชุมได้ง่ายๆ เพียงแค่เปิดลิงก์การประชุมเท่านั้น โดยอาศัยการวางเว็บเซิร์ฟเวอร์ไว้ในเครื่องผู้ใช้ ทำให้คนร้ายสามารถดึงให้เหยื่อเข้ามาร่วมการประชุมใดๆ ด้วยการฝังลิงก์เพื่อส่งคำสั่งให้แอป Zoom เข้าร่วมการประชุม โดยค่าเริ่มต้นของแอปจะเปิดกล้องทันทีที่ร่วมประชุม ที่สำคัญคือเว็บเซิร์ฟเวอร์นี้จะยังคงอยู่ในเครื่องผู้ใช้แม้ผู้ใช้จะถอนแอป Zoom ไปแล้วก็ตาม โดยเว็บเซิร์ฟเวอร์นี้รองรับคำสั่งในการดาวน์โหลดแอป Zoom และกลับมาติดตั้งใหม่ Reference:
สถานะการแก้ไขดำเนินการแก้ไขเรียบร้อยวันที่ 27 มีนาคม 2020 โดย Zoom รายละเอียดZoom เลิกใช้ Facebook SDK เพราะว่าข้อมูลล็อกอิน Zoom ด้วย Facebook บน iOS ส่งข้อมูลเครื่องผู้ใช้กลับไป Facebook แม้ Zoom จะประกาศเลิกใช้งานไปแล้วโดยตัว Facebook SDK จะเก็บข้อมูลบางส่วนของผู้ใช้ได้แก่ หมายเลขประจำแอป, เวอร์ชั่นของแอป, เครือข่ายที่โทรศัพท์เคลื่อนที่ที่เชื่อมต่ออยู่, หมายเลขประจำเครื่องสำหรับโฆษณา, จำนวนซีพียู, พื้นที่ดิสก์, ขนาดจอ, รุ่นเครื่อง, ภาษาที่ใช้งาน, โซนเวลา, เวอร์ชั่น iOS, และหมายเลขไอพี ทำให้ทาง Zoom ตัดสินใจเลิกใช้ Facebook SDK สำหรับผู้ใช้ที่ต้องการล็อกอินด้วย Facebook Reference:
สถานะการแก้ไขยังไม่มีสถานะการแก้ไข รายละเอียดสำนักข่าว The Intercept เปิดเผยว่า Zoom ไม่ได้มีการเข้ารหัสระดับ End-to-end แต่ Zoom กลับใช้วิธีการเข้ารหัสด้วย TLS หรือวิธีการเข้ารหัสบนเว็บไซต์ตามปกติ ซึ่งเป็นการป้องกันระหว่างทางเท่านั้น (Endpoint-Server) นั่นหมายความว่าตัวเซิร์ฟเวอร์ของ Zoom เองยังสามารถเข้าถึงเนื้อหาการประชุมวีดีโอหรือเสียงได้ ทั้งนี้ Zoom เองก็ออกมายอมรับว่า Zoom ยังไม่ได้ทำการเข้ารหัสแบบ End-to-end ในขณะ Video Meeting การไม่มีการเข้ารหัสแบบ End-to-end ของ Zoom ทำให้สามารถสอดแนมการประชุมส่วนตัวหรืออาจถูกบังคับให้มอบการบันทึกการประชุมให้กับรัฐบาลหรือผู้มีอำนาจบังคับใช้กฎหมายเพื่อตอบสนองต่อคำขอทางกฎหมาย Reference:
สถานะการแก้ไขยังไม่มีสถานะการแก้ไข รายละเอียดปัญหานี้ถูกพบโดยผู้ใช้งาน Zoom หลายคนได้ลงทะเบียนด้วยอีเมลส่วนตัว โดยแอพพลิเคชั่น Zoom ได้ทำการจัดกลุ่มผู้ใช้งานบางคนร่วมกันที่ลงทะเบียนภายใต้โดเมนเดียวกัน นั่นหมายความว่า Zoom ไม่สามารถแยกแยะ Company Email กับ Free Email ออกจากกันได้ในบางกรณี ซึ่งทำให้ Free Email สามารถใช้งานฟีเจอร์ Company Directory ทั้งที่ไม่ควรใช้ได้ และทำให้สามารถเห็นข้อมูลส่วนบุคคล, ที่อยู่, อีเมล, และภาพถ่ายใน “Company Directory” ได้แม้ว่าคนเหล่าเป็นเพื่อนร่วมงานหรือไม่ก็ตาม Reference:
สถานะการแก้ไขดำเนินการแก้ไขเรียบร้อยวันที่ 23 มีนาคม 2020 โดย Zoom เวอร์ชั่น 4.6.8 (19178.0323) รายละเอียดช่องโหว่บนฟีเจอร์ในการส่งแชทหากันเองของผู้ที่อยู่ในห้องประชุม โดยปัญหาคือการใช้งาน UNC Path ของ Zoom หมายความว่าถ้าผู้ใช้งาน Zoom ผ่านมาง Windows จะมีการเชื่อมต่อไปยัง SMB โปรโตคอล (เป็นโปรโตคอลสำหรับการแชร์ไฟล์, เครื่องพิมพ์หรือพอร์ตแบบอนุกรมบนเครือข่าย) ซึ่งโดยปกติแล้วจะมีการส่งชื่อล็อกอินและ NTLM Password ออกไปด้วย ทั้งนี้นักวิจัยที่ชื่อ @_g0dmode พบว่าเขาสามารถดักจับ Password ที่ส่งเข้ามาได้เพื่อทำการแคร็ก นอกจากนี้นักวิจัยยังชี้ว่าสามารถใช้วิธีการนี้สามารถใช้รันโปรแกรมที่อยู่ในคอมพิวเตอร์ของผู้ใช้งานได้ด้วย Reference:
สถานะการแก้ไขดำเนินการแก้ไขเรียบร้อยวันที่ 2 เมษายน 2020 โดย Zoom เวอร์ชั่น 4.6.9 (19273.0402) รายละเอียดบริการฟีเจอร์ของ Zoom ที่ชื่อว่า LinkedIn Sales Navigator เป็นบริการ LinkedIn ที่ใช้สำหรับการตรวจหายอดขายของผู้ใช้เมื่อผู้ใช้เข้าสู่การประชุมผ่านเว็บ ฟีเจอร์นี้จะส่งรายชื่อผู้ใช้และที่อยู่อีเมลไปยังระบบภายในของบริษัท Zoom โดยอัตโนมัติข้อมูลนี้จะส่งไปยังโปรไฟล์ LinkedIn ฟีเจอร์นี้ยังอนุญาตให้ผู้เข้าร่วมประชุมคนอื่นๆ เข้าถึงข้อมูลโปรไฟล์ LinkedIn โดยอัตโนมัติโดยไม่ต้องขออนุญาตจากผู้ใช้ นั่นหมายความว่าหากผู้ใช้เข้าร่วมการประชุม แม้ว่าจะไม่ได้ใช้ชื่อจริงหรือใช้นามฝง ผู้เข้าร่วมประชุมคนอื่น ๆ สามารถรวบรวมข้อมูลเกี่ยวกับชื่อจริง, ที่อยู่, ชื่อบริษัทและตำแหน่งงานได้ Reference:
สถานะการแก้ไขยังไม่มีสถานะการแก้ไข รายละเอียดนักวิจัยจาก Citizen Lab ออกรายงานข้อมูลว่าบริการวิดีโอคอล Zoom ได้ส่งข้อมูลการโทรศัพท์จากอเมริกาเหนือผ่านประเทศจีนโดยไม่แจ้งให้ผู้ใช้ทราบก่อน รวมถึงกุญแจเข้ารหัสที่ใช้กับข้อมูลเหล่านั้นด้วย ซึ่งหมายความว่าถ้าทางการประเทศจีนต้องการข้อมูลใดๆ ก็สามารถสั่งให้ Zoom ส่งข้อมูลใด ๆ ก็ตามที่ต้องการได้ ทั้งนี้เกิดขึ้นจาก Zoom จะพยายามเชื่อมต่อกับศูนย์ข้อมูลที่อยู่ใกล้ที่สุดกับบริเวณที่ผู้ใช้ แต่ถ้าหากมีปัญหาไม่สามารถเชื่อมต่อได้ ไคลเอนท์จะเชื่อมต่อที่ศูนย์ข้อมูลสำรองที่สามารถรับปริมาณทราฟฟิกที่สูงสุด ซึ่งอาจจะเชื่อมต่อไปต่อศูนย์ข้อมูลประเทศจีนได้ในกรณีที่ศูนย์ข้อมูลแห่งอื่นๆ ทราฟฟิกเต็มหมดแล้ว Reference:
ขอบคุณและที่มาอ้างอิงจาก https://www.i-secure.co.th/2020/04/risk-in-zoom/#8
0 Comments
Leave a Reply. |
E-MEETING CONFERENCE SOLUTION SERVICE, WEBINAR, VIDEO CONFERENCE ONLINE
#เราจะผ่านวิกฤตนี้ไปด้วยกัน #สอนออนไลน์ #covid19 #vdoCourseOnline #สร้างห้องเรียนออนไลน์ #LeraningOnline #WorkFromHome #e-meeting #ประชุมออนไลน์ #ประชุมอิเลคทรอนิกส์ #ประชุมออนไลน์ให้ถูกต้องตามกฏหมายไทย #SocialDistancing #หยุดเชื้อเพื่อชาติ #เว้นระยะห่างทางสังคม #e-meeting-apps #e-meeing-online
#videoConferenceOnline #Webinar
#videoConferenceOnline #Webinar