นักวิจัยด้านความปลอดภัยของ Google ได้พบช่องโหว่ที่ได้รับการรายงานในปี 2559 โดยไม่ได้รับการแก้ไข ไม่กี่ปีต่อมา บริษัทพบว่าตัวเองอยู่ในคลังแสงของบริษัทสปายแวร์เพื่อแฮ็กสมาร์ทโฟน Android
การตามล่าหาช่องโหว่แบบ Zero-day ไม่ใช่แม่น้ำที่ยาวและเงียบสงบ บางครั้งสิ่งต่างๆ ก็หายไปในการสับเปลี่ยน ตัวอย่างล่าสุดเพิ่งถูกส่งโดยนักวิจัยด้านความปลอดภัยของ Google เนื่องในโอกาสการประชุมใหญ่หมวกดำ 2022อย่างหลังนำเสนอข้อบกพร่องแบบ Zero-day มากมายที่ผู้เผยแพร่ซอฟต์แวร์เฝ้าระวังใช้โดยมีจุดประสงค์เพื่อแฮ็กเทอร์มินัล Android
หนึ่งในข้อบกพร่องเหล่านี้ (CVE-2021-0920) เป็นสิ่งที่น่าทึ่งเป็นพิเศษ เนื่องจากเป็นส่วนหนึ่งของห่วงโซ่ช่องโหว่ที่ซับซ้อนมาก ซึ่งทำให้สามารถควบคุมเทอร์มินัลจากระยะไกลด้วยสิทธิ์ของผู้ดูแลระบบ ข้อบกพร่องนี้พบในโมดูล "การรวบรวมขยะเคอร์เนล" และได้รับการแก้ไขในเดือนกันยายน 2564 แต่การวิจัยทางโบราณคดีเกือบแสดงให้เห็นว่ามีการรับรู้มาตั้งแต่อย่างน้อยปี 2559
พลาดโอกาส
ตามที่รายงานโดย Gizmodo Google สามารถค้นหาการแลกเปลี่ยนในหัวข้อนี้ในรายชื่อผู้รับจดหมายเคอร์เนลของ Linux มีการเสนอแพตช์ แต่ถูกปฏิเสธเนื่องจากขาดข้อตกลงทั่วไปในประเด็นนี้ หนึ่งในผู้พัฒนาเคอร์เนล Linux เขียนว่า:“เหตุใดฉันจึงควรใช้แพตช์ที่เป็นเพียง RFC [ขอความคิดเห็น เอกสารที่อธิบายเทคโนโลยีพร้อมมุมมองสำหรับการนำไปใช้ในอนาคต บันทึกของบรรณาธิการ] ซึ่งไม่มีข้อความยืนยันที่เหมาะสม โดยที่ลายเซ็นจริงหายไป และสิ่งใดที่ไม่ได้รับประโยชน์จากการตรวจสอบหรือคำติชมจากนักพัฒนาที่รู้จัก
หลังจากนั้นทุกคนก็ลืมไป ยกเว้นบริษัทสปายแวร์ที่มองไม่เห็นหรือไม่รู้จักในผลิตภัณฑ์ของตน จนกระทั่งการโจมตีที่เกิดขึ้นได้รับการวิเคราะห์โดยนักวิจัยของ Google ว่าข้อบกพร่องนี้กลับมาที่เบื้องหน้าและถูกปิดในที่สุด กระบวนการที่ท้ายที่สุดแล้วค่อนข้างคดเคี้ยว และทำให้โจรสลัดมีพื้นที่มากเกินไปสำหรับการซ้อมรบ
นักแสดงประมาณสามสิบคนตามด้วยกางเกง
ที่ Google ความเสี่ยงที่มาจากผู้เผยแพร่โฆษณาเหล่านี้กลายเป็นเรื่องสำคัญ“ก่อนหน้านี้ เราต้องมุ่งเน้นไปที่ภัยคุกคามเช่นที่มาจากจีน รัสเซีย หรือเท่านั้นของเกาหลีเหนือ ขณะนี้ กลุ่มการวิเคราะห์ภัยคุกคาม (TAG) ของเรามีทีมงานเฉพาะสำหรับผู้ขายและผู้ประกอบการเชิงพาณิชย์ (...) TAG ติดตามผู้ขายมากกว่า 30 รายอย่างแข็งขันด้วยระดับความซับซ้อนและการเปิดเผยต่อสาธารณะที่แตกต่างกัน การขายการหาประโยชน์หรือความสามารถในการเฝ้าระวังให้กับนักแสดงสถานะ "ประกาศให้ Shane Huntley ผู้อำนวยการของ TAG ต่อสภาผู้แทนราษฎรแห่งสหรัฐอเมริกาเมื่อไม่กี่สัปดาห์ก่อน และการเฝ้าติดตามนี้ยิ่งทำได้ยากขึ้น เนื่องจากเทคนิคที่ใช้โดยผู้มีบทบาทเหล่านี้มีอยู่ในระดับสูง เทียบได้กับเทคนิคที่รัฐใช้
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : กิซโมโด
