Project Zero ทีมวิจัยด้านความปลอดภัยของ Google พบช่องโหว่ใน iMessage ที่สามารถใช้งานได้โดยไม่ต้องให้ยูสเซอร์เผลอกดอะไรแปลกๆ จำนวนหกช่องด้วยกัน
ช่องโหว่ห้าช่องจากทั้งหมดหกช่องนั้นถูกปิดไปแล้วในอัพเดท iOS 12.4 โดยช่องโหว่ทั้งหมดนั้นแฮคเกอร์สามารถเรียกใช้งานได้โดยยูสเซอร์ไม่ต้องทำอะไรเลย ทำให้ความอันตรายอยู่ในระดับร้ายแรงมาก อย่างไรก็ตามปัจจุบันยังเหลือช่องโหว่อีกหนึ่งจุดที่ Apple ยังไม่ปิด
ในช่องโหว่ทั้งหมดนี้ มีช่องโหว่หนึ่งที่ไม่มีทางแก้ไขได้นอกจากล้างเครื่องใหม่หมด (BBC และ Project Zero ไม่ได้ระบุว่าเป็นช่องโหว่ที่ยังไม่ได้แก้ไขหรือเปล่า) แน่นอนว่าผู้ใช้งานไม่อยากจะใช้วิธีการนั้นเพื่อแก้ไขอย่างแน่นอน โดย ณ ตอนนี้ Project Zero จะยังไม่เปิดเผยช่องโหว่ดังกล่าวสู่สาธารณะ จนกว่าจะถึงเวลาที่นัดกันเอาไว้ (มาตรฐานคือ 90 วันหลังจากแจ้งไป) ถ้าหาก Apple ไม่สามารถแก้ไขได้ทันเวลาผู้ใช้งานทั้งหมดทั่วโลกก็จะตกอยู่ในความเสี่ยงทันที
ช่องโหว่ทั้งหกช่องนี้ถ้าหากนำไปขายในตลาดมืด น่าจะมีมูลค่าช่องโหว่ละไม่ต่ำกว่า $1 ล้านดอลลาร์สหรัฐ เนื่องจากผู้ใช้งานไม่ต้องทำอะไรผิดเลย ไม่ต้องคลิก ไม่ต้องกดลิงค์ แต่ก็โดนแฮคได้ ส่วนทาง Crowdfense ผู้ขายข้อมูลช่องโหว่ระบุว่าเนื่องจากช่องโหว่นี้ผู้ใช้งานไม่ต้องกดอะไรก็โดนแฮคได้ มูลค่าจริงๆ ต่อช่องโหว่น่าจะอยู่ที่ $2 – $4 ล้านดอลลาร์สหรัฐมากกว่า ทำให้รวมๆ แล้วมีมูลค่ารวมสูงถึง $20 – $24 ล้านดอลลาร์สหรัฐ ขึ้นอยู่กับว่าใครเป็นคนซื้อไป
ช่องโหว่ที่ถูกแก้ไขแล้วได้รับรหัส CVE ดังนี้ครับ
- CVE-2019-8624
- CVE-2019-8646
- CVE-2019-8647
- CVE-2019-8660
- CVE-2019-8662
ที่มา – Gizmodo
