เตือนสาวกแอปเปิล ระบบ iOS มีช่องโหว่เอื้อขโมยรหัสผ่าน iCloud แสนง่าย

นักวิจัยประกาศพบข้อบกพร่องร้ายแรงในระบบปฏิบัติการไอโอเอส (iOS) ของแอปเปิลที่อาจทำให้นักแฮกแอบขโมยรหัสผ่านบริการพื้นที่เก็บข้อมูลออนไลน์ “ไอคลาวด์ (iCloud)” อย่างง่ายดาย ระบุหน้าแบบฟอร์มปลอมสามารถทำงานได้ราบรื่นบนช่องโหว่นี้ ทำให้ผู้ใช้อุปกรณ์แอปเปิลอาจหลงกลกรอกข้อมูลรหัสผ่าน iCloud แล้วส่งให้แฮกเกอร์โดยไม่รู้ตัวว่ากำลังเป็นเหยื่อ
      
ข้อบกพร่อง หรือ bug ในไอโอเอสนี้ถูกเปิดเผยต่อสาธารณชนในรูปแบบ proof-of-concept ซึ่งเป็นการสาธิตข้อบกพร่องว่ามีโอกาสเกิดความเสียหายได้จริง โดยผู้เปิดเผยใช้ชื่อว่า Soucek (@jansoucek) ระบุว่า เป็น bug ในระบบแอปพลิเคชันอีเมล
      
Soucek ระบุว่าข้อบกพร่องนี้ยังไม่ถูกแก้ไขใน iOS 8.3 ที่แอปเปิลเพิ่งเปิดอัปเดต ข้อบกพร่องนี้จะทำให้ระบบดาวน์โหลดแบบฟอร์มจากเซิร์ฟเวอร์ตัวหนึ่ง แบบฟอร์มนี้จะถอดแบบหน้าลงชื่อใช้งาน iCloud login ของแท้ทุกกระเบียดนิ้ว โดยแบบฟอร์มนี้จะปรากฏทุกครั้งที่ผู้ใช้เรียกอ่านอีเมลล่อลวง

ข้อพบกร่องนี้มาจากการปล่อยให้ระบบสามารถแสดงผลคอนเทนต์ HTML จากระยะไกลได้แทนการแสดงข้อความอีเมลดั้งเดิม ช่องโหว่นี้จึงเป็นโอกาสให้นักแฮกสามารถสร้างแบบฟอร์มที่เลียนแบบหน้า iCloud login ก่อนจะแนบแบบฟอร์มนี้ไปทางอีเมลเพื่อส่งให้แก่เหยื่อกลุ่มเป้าหมาย
      
การสร้างแบบฟอร์มปลอมให้เหยื่อหลงกลกรอกข้อมูลนั้นเป็นที่รู้จักในชื่อฟิชชิง (Phishing) เพื่อหลีกเลี่ยงการตกเป็นเหยื่อจากข้อบกพร่องนี้ ผู้ใช้ควรจะคลิกปุ่มยกเลิก หรือ cancel หากพบแบบฟอร์มขอรหัสผ่านที่ไม่แน่ใจ ก่อนจะกลับไปตรวจสอบที่อยู่ผู้ส่งอีเมลนั้นว่าเชื่อถือได้หรือไม่

สำหรับวิธีที่จะใช้จำแนกว่าแบบฟอร์มนี้เป็นแบบฟอร์มปลอมหรือไม่ รายงานระบุว่า สามารถทดลองกดปุ่มโฮม (home button) หากกดในขณะที่แบบฟอร์มเรียกรหัสผ่านยังเปิดอยู่ แล้วหน้าจอกลับไปแสดงผลหน้าหลัก หรือ main screen ทันที กรณีนี้สามารถฟันธงได้ว่าแบบฟอร์มที่แสดงนั้นเป็นของปลอม
      
รายงานระบุว่า แอปเปิลรับทราบข้อมูลช่องโหว่นี้ตั้งแต่เดือนมกราคมที่ผ่านมา แต่ยังไม่มีการดำเนินการเพื่อแก้ปัญหาใดๆ

ที่มา : http://manager.co.th/cyberbiz/ViewNews.aspx?NewsID=9580000066448