Phone City Magazine

 Breaking News
សេចក្តីជូនដំណឹង : សម្រាប់ការអញ្ជើញចូលរួមកម្មវិធីសម្ពោធនាៗ សូមទំនាក់ទំនងទៅកាន់លេខ 010 97 35 45។ ទំនាក់ទំនងផ្សាយពាណិជ្ជកម្មៈ 010 97 35 45

ការវាយប្រហារថ្មីអនុញ្ញាតអោយកម្មវិធី Android Apps ធ្វើការថតនូវទិន្នន័យ Loudspeaker Data ដោយគ្មានការអនុញ្ញាត

October 06
06:45 pm 2019
Like and Share this page:

កាលពីដើមខែនេះ The Hacker News បានចុះផ្សាយពីការស្រាវជ្រាវមួយដែលបង្ហាញពីរបៀបដែលកម្មវិធី Android ជាង១៣០០ កំពុងប្រមូលទិន្នន័យដែលងាយរងគ្រោះសូម្បីតែនៅពេលអ្នកប្រើប្រាស់បានបដិសេធយ៉ាងច្បាស់នូវសិទ្ធិដែលត្រូវការ។ ការស្រាវជ្រាវត្រូវបានផ្តោតជាចម្បងលើវិធីដែលអ្នកអភិវឌ្ឍន៍កម្មវិធីប្រើវិធីជាច្រើនដើម្បីប្រមូលទិន្នន័យទីតាំង អត្តសញ្ញាណទូរស័ព្ទ និងអាស័យដ្ឋាន MAC របស់អ្នកប្រើប្រាស់របស់ពួកគេដោយប្រើប្រាស់ទាំងបណ្តាញសម្ងាត់និងបណ្តាញចំហៀង។

ឥឡូវនេះ ក្រុមអ្នកស្រាវជ្រាវដាច់ដោយឡែកខាងសន្តិសុខតាមអ៊ីនធឺរណិតបានបង្ហាញជោគជ័យនូវការវាយប្រហារ side-channel ថ្មីមួយដែលអាចឱ្យកម្មវិធីព្យាបាទអាចលួចស្តាប់ការសន្ទនាចេញពីការបើកឧបករណ៍បំពងសម្លេងរបស់ទូរស័ព្ទរបស់អ្នកដោយមិនចាំបាច់មានការអនុញ្ញាតពីឧបករណ៍ណាមួយឡើយ។

ការរំលោភបំពានប្រព័ន្ធប្រតិបត្តិការ Android ល្បឿនដើម្បីចាប់យកទិន្នន័យពីការបើកឧបករណ៍បំពងសម្លេង

Dubbed Spearphone ជាការវាយប្រហារដែលបានបង្ហាញថ្មីទាញយកអត្ថប្រយោជន៍ពីឧបករណ៍ចាប់សញ្ញាចលនាដែលមានមូលដ្ឋានលើផ្នែករឹងដែលហៅថាឧបករណ៍វាស់ល្បឿនដែលត្រូវបានបង្កើតឡើងនៅក្នុងឧបករណ៍ Android ភាគច្រើនហើយអាចចូលបានដោយគ្មានការរឹតត្បិតដោយកម្មវិធីណាមួយដែលបានតំឡើងនៅលើឧបករណ៍ទោះបីជាមានសិទ្ធិសូន្យក៏ដោយ។ ឧបករណ៍វាស់ល្បឿនគឺជាឧបករណ៍ចាប់សញ្ញាចលនាដែលអនុញ្ញាតឱ្យកម្មវិធីតាមដានចលនារបស់ឧបករណ៍ដូចជាការផ្អៀង អង្រួន ការបង្វិល ឬការយោលចុះឡើងដោយវាស់អត្រាពេលវេលានៃការផ្លាស់ប្តូរល្បឿនដោយគោរពតាមទំហំឬទិសដៅ។

 ចាប់តាំងពីឧបករណ៍បំពងសម្លេងដែលផលិតនៅក្នុងទូរស័ព្ទឆ្លាតវៃត្រូវបានគេដាក់នៅលើផ្ទៃដូចគ្នានឹងឧបករណ៍ចាប់សញ្ញាចលនាដែលបានបង្កប់ វាបង្កើតការឆ្លើយតបលើផ្ទៃនិងការនិយាយពីលើអាកាសនៅក្នុងតួទូរស័ព្ទនៅពេលដែលឧបករណ៍បំពងសម្លេងត្រូវបានបើក។ ការរកឃើញដោយក្រុមអ្នកស្រាវជ្រាវសន្តិសុខ Abhishek Anand, Chen Wang, Jian Liu, Nitesh Saxena, Yingying Chen - ការវាយប្រហារអាចកើតឡើងនៅពេលជនរងគ្រោះហៅទូរស័ព្ទឬវីដេអូតាមរបៀបនិយាយបំពងសម្លេងឬព្យាយាមស្តាប់ឯកសារប្រព័ន្ធផ្សព្វផ្សាយ ឬទាក់ទងជាមួយជំនួយការទូរស័ព្ទឆ្លាតវៃ។

ក្នុងនាមជាភស្តុតាងនៃគំនិត អ្នកស្រាវជ្រាវបានបង្កើតកម្មវិធី Android ដែលធ្វើត្រាប់តាមឥរិយាបថរបស់អ្នកវាយប្រហារដែលមានគំនិតអាក្រក់បានរចនាឡើងដើម្បីកត់ត្រាការនិយាយស្តីដោយប្រើឧបករណ៍វាស់ល្បឿនហើយបញ្ជូនទិន្នន័យដែលចាប់បានត្រលប់ទៅម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ ក្រុមអ្នកស្រាវជ្រាវនិយាយថា អ្នកវាយប្រហារពីចម្ងាយអាចពិនិត្យការអានដែលបានចាប់យកដោយប្រើដំណើរការសញ្ញារួមជាមួយបច្ចេកទេសរៀនម៉ាស៊ីន "ក្រៅប្រព័ន្ធ" ដើម្បីបង្កើតពាក្យនិយាយឡើងវិញនិងទាញយកព័ត៌មានពាក់ព័ន្ធអំពីជនរងគ្រោះដែលបានបម្រុងទុក។

ការវាយប្រហាររបស់ Spearphone: ចារកម្មលើការហៅ សារសម្លេងនិងពហុមេឌា

យោងតាមក្រុមអ្នកស្រាវជ្រា វការវាយប្រហាររបស់ Spearphone អាចត្រូវបានប្រើដើម្បីរៀនអំពីមាតិកាសម្លេងដែលបើលដោយជនរងគ្រោះ - ត្រូវបានជ្រើសរើសចេញពីវិចិត្រសាលឧបករណ៍នៅលើអ៊ីនធឺរណិតឬសម្លេងដែលទទួលបានពីកម្មវិធីផ្ញើសារដូចជា WhatsApp ។ អ្នកស្រាវជ្រាវពន្យល់ថា “ការវាយប្រហារដែលបានស្នើឡើងអាចស្តាប់បានតាមរយៈការហៅជា សម្លេងដើម្បីធ្វើឱ្យប៉ះពាល់ដល់ភាពឯកជននៃការនិយាយរបស់អ្នកប្រើចុងក្រោយពីចម្ងាយ” ។

"ព័ត៌មានផ្ទាល់ខ្លួនដូចជាលេខសន្តិសុខសង្គម ថ្ងៃកំណើត អាយុ ទិន្នន័យកាតឥណទាន ព័ត៌ មានគណនីធនាគារ។ល។ ភាគច្រើនទិន្នន័យមានលេខ។ ដូច្នេះ យើងជឿជាក់ថាដែនកំណត់នៃទំហំសំណុំទិន្នន័យរបស់យើងមិនគួរបន្ថយកម្រិតនៃការគំរាមកំហែងដែលបានដឹងពីការវាយប្រហាររបស់យើងឡើយ។ "អ្នកស្រាវជ្រាវក៏បានសាកល្បងការវាយប្រហាររបស់ពួកគេប្រឆាំងនឹងជំនួយការសម្លេងឆ្លាតវៃរបស់ទូរស័ព្ទរួមទាំងជំនួយការ Google និង Samsung Bixby ទទួលបានជោគជ័យនូវការឆ្លើយតប (លទ្ធផល) ចំពោះសំណួរអ្នកប្រើលើឧបករណ៍បំពងសម្លេងរបស់ទូរស័ព្ទ។ 

អ្នកស្រាវជ្រាវជឿជាក់ថាដោយប្រើបច្ចេកទេសនិងឧបករណ៍ដែលគេស្គាល់ ការវាយប្រហាររបស់ Spearphone មាន "តម្លៃសំខាន់ព្រោះវាអាចត្រូវបានបង្កើតឡើងដោយអ្នកវាយប្រហារដែលមានទម្រង់ទាប"។ ក្រៅពីនេះ ការវាយប្រហាររបស់ Spearphone ក៏អាចត្រូវបានប្រើដើម្បីកំណត់លក្ខណៈនិយាយរបស់អ្នកប្រើប្រាស់មួយចំនួនទៀតដែលរួមមានការធ្វើចំណាត់ថ្នាក់យេនឌ័រដែលមានភាពត្រឹមត្រូវជាង ៩០ ភាគរយនិងការកំណត់ការបំពងសម្លេងដែលមានភាពត្រឹមត្រូវជាង ៨០ភាគរយ។

អ្នកស្រាវជ្រាវបាននិយាយថា“ ឧទាហរណ៍ អ្នកវាយប្រហារអាចដឹងថាតើបុគ្គលណាម្នាក់ (អ្នកដែលស្ថិតក្រោមការឃ្លាំមើលដោយការអនុវត្តច្បាប់) បានទាក់ទងជាមួយម្ចាស់ទូរស័ព្ទនៅពេលនោះ”។ លោក Nitesh Saxena ក៏បានបញ្ជាក់ប្រាប់សារព័ត៌មាន The Hacker News ផងដែរថា ការវាយប្រហារនេះមិនអាចត្រូវបានប្រើដើម្បីចាប់យកសម្លេងរបស់អ្នកប្រើប្រាស់គោលដៅឬជុំវិញរបស់ពួកគេនោះទេពីព្រោះ “វាមិនមានឥទ្ធិពលគ្រប់គ្រាន់ដើម្បីប៉ះពាល់ដល់ឧបករណ៍ចាប់សញ្ញាចលនារបស់ទូរស័ព្ទជាពិសេសត្រូវបានផ្តល់ជូននូវអត្រាគំរូទាបដែលដាក់ដោយប្រព័ន្ធប្រតិបត្តិការ”។ ដូច្នេះក៏មិនជ្រៀតជ្រែកជាមួយការអានឧបករណ៍វាស់ល្បឿនទេ។

image

Like and Share this page:

Related Posts


Comments

ជួយគាំទ្រយើងនៅក្នុង Facebook

ព័ត៌មានពេញ​និយម​ប្រចាំ​សប្ដាហ៍

ទិញលក់ ទំនិញ ពេញ​និយម​ប្រចាំ​សប្ដាហ៍

ចំនួនអ្នកចូលទស្សនា

Today : 6168
Yesterday : 15143
This Month : 312916
Last Month : 547061
Total Visitor : 25711972